| 2.使用nexus3配置docker私有仓库 | 您所在的位置:网站首页 › HUB仓库类型 › 2.使用nexus3配置docker私有仓库 |
2.使用nexus3配置docker私有仓库
|
总结: 客户端主机操作 1.echo "192.168.0.254 idocker.io" >> /etc/hosts 2.mkdir -p /etc/docker/certs.d/idocker.io 3.把192.168.0.254主机上的/etc/nginx/ssl/out/root.crt复制到客户端的/etc/docker/certs.d/idocker.io目录下 4.客户端使用: (1) 登陆:docker login -u admin -p newnode7852 idocker.io (2) 打标签:docker tag image:label idocker.io/image:label (3) 推送:docker push idocker.io/image:label (4) 拉取:docker pull idocker.io/image:label 1,配置 1,创建blob存储登陆之后,先创建一个用于存储镜像的空间。
定义一个name,下边的内容会自动补全。
然后保存。
注意:实际生产中使用,建议服务器存储500G或以上。 2,创建一个hosted类型的docker仓库Hosted类型仓库用作我们的私有仓库,替代harbor的功能。 点击步骤如下:
而后可见所支持种类之丰富,可见一斑。
这里我们看到docker类型有三种:
先来创建一个hosted类型的私有仓库。 点击 Repository下面的 Repositories – Create repository – docker(hosted) : Name: 定义一个名称docker-local Online: 勾选。这个开关可以设置这个Docker repo是在线还是离线。 Repository Connectors下面包含HTTP和HTTPS两种类型的port。 有什么用呢?说明讲得很清楚: 连接器允许docker客户端直接连接到docker仓库,并实现一些请求操作,如docker pull, docker push, API查询等。但这个连接器并不是一定需要配置的,尤其是我们后面会用group类型的docker仓库来聚合它。 我们把HTTP这里勾选上,然后设置端口为8083。 Allow anonymous docker pull不勾选。这样的话就不允许匿名访问了,执行docker pull或 docker push之前,都要先登录:docker login Docker Registry API SupportDocker registry默认使用的是API v2, 但是为了兼容性,我们可以勾选启用API v1。 StorageBlob store:我们下拉选择前面创建好的专用blob:docker-hub。 Hosted开发环境,我们运行重复发布,因此Delpoyment policy 我们选择Allow redeploy。 整体配置截图如下:
proxy类型仓库,可以帮助我们访问不能直接到达的网络,如另一个私有仓库,或者国外的公共仓库,如官方的dockerhub镜像库。 创建一个proxy类型的仓库 Name: proxy-docker-hub Repository Connectors: 不设置。 ProxyRemote Storage: docker hub的proxy,这里填写: https://registry-1.docker.io 这个是官方默认的一个链接 Docker Index: Use Docker Hub Storage:idocker-hub 整体配置截图如下:
group类型的docker仓库,是一个聚合类型的仓库。它可以将前面我们创建的3个仓库聚合成一个URL对外提供服务,可以屏蔽后端的差异性,实现类似透明代理的功能。 name:docker-group Repository Connectors:启用了一个监听在8082端口的http连接器; Storage:选择专用的blob存储idocker-hub。 group : 将左边可选的3个仓库,添加到右边的members下。 整体配置截图如下:
最终效果
到这儿,nexus在docker这一块是部署已经完成了,但是这样并不能很好的使用。因为group仓库并不能推送镜像,因为你推送自己制作的镜像到仓库还得通过本地仓库的端口去推送,很不方便! 有一个解决方法:通过Nginx来判断推镜像还是拉镜像,然后代理到不同端口 5,nginx代理方式访问仓库在部署 Nginx 部分,需要先生成自签名 SSL 证书,因为后面不想在 docker pull 的时候还要带一个端口!这里需要 2 个域名,一个用来展示 nexus 前台,另一个用做 docker 仓库,比如: nexus 前台:repo.ald.com docker 仓库:idocker.io 1.安装nginx yum -y install nginx 2.生成证书这里推荐一个一键生成工具,大家可以尝试使用:https://github.com/Fishdrowned/ssl ,使用方法请参考作者说明。 Ps:如果你打算做外网仓库服务,那也可以去申请一个免费SSL证书,我这边是内部oa域名使用,所以只能用自签名证书了。 创建证书方式如下: #直接切换到应用目录 # cd /etc/nginx/conf.d/ #下载工具 # git clone https://github.com/Fishdrowned/ssl.git Cloning into 'ssl'... remote: Enumerating objects: 106, done. remote: Total 106 (delta 0), reused 0 (delta 0), pack-reused 106 Receiving objects: 100% (106/106), 171.53 KiB | 286.00 KiB/s, done. Resolving deltas: 100% (48/48), done. #生成证书 # cd ssl # ./gen.cert.sh idocker.io Removing dir out Creating output structure Done Generating a 2048 bit RSA private key ......+++ ......................................................................................................................+++ writing new private key to 'out/root.key.pem' ----- Generating RSA private key, 2048 bit long modulus ...............................................................................+++ .................................+++ e is 65537 (0x10001) Using configuration from ./ca.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'CN' stateOrProvinceName :ASN.1 12:'Guangdong' localityName :ASN.1 12:'Guangzhou' organizationName :ASN.1 12:'Fishdrowned' organizationalUnitName:ASN.1 12:'idocker.io' commonName :ASN.1 12:'*.idocker.io' Certificate is to be certified until Jun 12 04:29:18 2022 GMT (730 days) Write out database with 1 new entries Data Base Updated Certificates are located in: lrwxrwxrwx 1 root root 37 6月 12 12:29 /etc/nginx/conf.d/ssl/out/idocker.io/idocker.io.bundle.crt -> ./20200612-1229/idocker.io.bundle.crt lrwxrwxrwx 1 root root 30 6月 12 12:29 /etc/nginx/conf.d/ssl/out/idocker.io/idocker.io.crt -> ./20200612-1229/idocker.io.crt lrwxrwxrwx 1 root root 15 6月 12 12:29 /etc/nginx/conf.d/ssl/out/idocker.io/idocker.io.key.pem -> ../cert.key.pem lrwxrwxrwx 1 root root 11 6月 12 12:29 /etc/nginx/conf.d/ssl/out/idocker.io/root.crt -> ../root.crt 3.配置nginx # ip地址可以换成内网ip upstream nexus_docker_get { server 192.168.75.11:8082; } upstream nexus_docker_put { server 192.168.75.11:8083; } server { listen 80; listen 443 ssl; server_name idocker.io; access_log /var/log/nginx/idocker.io.log; # 证书 ssl_certificate /etc/nginx/conf.d/ssl/out/idocker.io/idocker.io.crt; # 证书路径根据上面生成的来定 ssl_certificate_key /etc/nginx/conf.d/ssl/out/idocker.io/idocker.io.key.pem; ssl_protocols TLSv1.1 TLSv1.2; ssl_ciphers '!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; # disable any limits to avoid HTTP 413 for large image uploads client_max_body_size 0; # required to avoid HTTP 411: see Issue #1486 (https://github.com/docker/docker/issues/1486) chunked_transfer_encoding on; # 设置默认使用推送代理 set $upstream "nexus_docker_put"; # 当请求是GET,也就是拉取镜像的时候,这里改为拉取代理,如此便解决了拉取和推送的端口统一 if ( $request_method ~* 'GET') { set $upstream "nexus_docker_get"; } # 只有本地仓库才支持搜索,所以将搜索请求转发到本地仓库,否则出现500报错 if ($request_uri ~ '/search') { set $upstream "nexus_docker_put"; } index index.html index.htm index.php; location / { proxy_pass http://$upstream; proxy_set_header Host $host; proxy_connect_timeout 3600; proxy_send_timeout 3600; proxy_read_timeout 3600; proxy_set_header X-Real-IP $remote_addr; proxy_buffering off; proxy_request_buffering off; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto http; } }nginx -t 检查没有问题的话,就可以启动nginx了。 4.客户端配置部署完成之后,我们就可以找一台测试机器进行测试了,不过因为我们刚刚定义的是内部使用的域名,所以需要在测试机器上写hosts解析,并将证书拷贝过去,否则会报不信任的错误。 在上文介绍的一键生成自签名工具中,会生成一个根证书,名称为/etc/nginx/conf.d/ssl/out/idocker.io/root.crt,我们将这个文件上传到客户端服务器的 /etc/docker/certs.d/idocker.io 目录即可(注意目录需要创建,最后的文件夹名称和仓库域名保持一致:idocker.io)。 现在到一台新主机192.168.75.10上测试: # 主机192.168.75.10上的操作 echo "192.168.75.11 idocker.io" >> /etc/hosts mkdir -p /etc/docker/certs.d/idocker.io # 然后去nexus主机上,将刚才的证书拷过来 scp root.crt [email protected]:/etc/docker/certs.d/idocker.io接下来,就可以开始真正的使用了。 6,正式验证 1,pull镜像 [root@master ~]# docker pull redis Using default tag: latest latest: Pulling from library/redis 8559a31e96f4: Pull complete 85a6a5c53ff0: Pull complete b69876b7abed: Pull complete a72d84b9df6a: Pull complete 5ce7b314b19c: Pull complete 04c4bfb0b023: Pull complete Digest: sha256:800f2587bf3376cb01e6307afe599ddce9439deafbd4fb8562829da96085c9c5 Status: Downloaded newer image for redis:latest docker.io/library/redis:latest 2,登陆私服这个地方也可能在登陆的时候会报错,说证书过期什么的,如下: Error response from daemon: Get https://idocker.io/v1/users/: x509: certificate has expired or is not yet valid报这个错的情况下,大概原因只有一个,那就是,两台服务器的时间不一致,只需要将两台服务器时间保持一致即可。 yum -y install ntpdate && ntpdate -u cn.pool.ntp.org分别在两台主机执行之后,发现登陆就成功了。 登陆的时候若是提示这个错误:Error response from daemon: login attempt to https://idocker.io/v2/ failed with status: 401 Unauthorized
这是nexus版本问题,需要通过WEB管理端设置权限
这里上传成功了,再去nexus3里边看看是有上去了。
当某一个镜像在我们本地仓库没有的时候,就需要从远程仓库拉取了,其他的私有仓库的操作大概都是要从远程拉取,然后在重复如上操作推到本地私有仓库,而nexus因为有了proxy功能,因此,当我们在pull远程镜像的时候,本地就会自动同步下来了. 以拉取gitlab镜像为例: docker pull idocker.io/gitlab/gitlab-ce Using default tag: latest Trying to pull repository docker.io/gitlab/gitlab-ce ... latest: Pulling from docker.io/gitlab/gitlab-ce 3b37166ec614: Pull complete 504facff238f: Pull complete ebbcacd28e10: Pull complete c7fb3351ecad: Pull complete 2e3debadcbf7: Pull complete 8e5e9b12009c: Pull complete 0720fffe6e22: Pull complete 2f336a213238: Pull complete 1656ee3e1127: Pull complete 25fa5248fd38: Pull complete 36b8c1d869a0: Pull complete Digest: sha256:0dd22880358959d9a9233163147adc4c8f1f5d5af90097ff8dfa383c6be7e25a Status: Downloaded newer image for docker.io/gitlab/gitlab-ce:latest因为本地没有这个镜像,所以从远程仓库拉取,然后去仓库里看看啥情况:
经过查看可以发现: docker-local里没有,proxy-docker-hub和docker-group里有 注意:删除的话只能在docker-local或proxy-docker-hub中删除,当在这两者中执行删除操作后,docker-group里会自动没有的
至此,基本上关于使用nexus3搭建docker私有仓库的知识点。 |
【本文地址】