Docker私有仓库registry+nginx(https) for centos7.2

五郎.

　　Docker仓库
　　仓库（Repository）是集中存放镜像的地方。
　　一个容易混淆的概念是注册服务器（Registry） 。实际上注册服务器是管理仓库的具体服务器，每个服务器上可以有多个仓库，而每个仓库下面有多个镜像。从这方面来说，仓库可以被认为是一个具体的项目或目录。例如对于仓库地址 docker.sina.com.cn/centos:centos63 来说，docker.sina.com.cn 是注册服务器地址，centos 是仓库名，centos63 是仓库的 tag。
　　Docker Hub 官方仓库
　　目前 Docker 官方维护了一个公共仓库 Docker Hub，其中已经包括了超过 15,000 的镜像。大部分需求，都可以通过在 Docker Hub 中直接下载镜像来实现。
　　注册&登录
　　可以通过命令行执行 docker login 命令来输入用户名、 密码和邮箱来完成注册和登录。 注册成功后，本地用户目录的 .docker/config.json 中将保存用户的认证信息。

　　基本操作
　　用户无需登录即可通过 docker search 命令来查找官方仓库中的镜像，并利用 docker pull 命令来将它下载到本地。
　　例如以 centos 为关键词进行搜索:

　　可以看到返回了很多包含关键字的镜像， 其中包括镜像名字、 描述、 星级 （表示该镜像的受欢迎程度） 、是否官方创建、是否自动创建。 官方的镜像说明是官方项目组创建和维护的，automated 资源允许用户验证镜像的来源和内容。
　　根据是否是官方提供，可将镜像资源分为两类。 一种是类似 centos 这样的基础镜像，被称为基础或根镜像。这些基础镜像是由 Docker 公司创建、验证、支持、提供。这样的镜像往往使用单个单词作为名字。 还有一种类型，比如 tianon/centos 镜像，它是由 Docker 的用户创建并维护的，往往带有用户名称前缀。可以通过前缀 user_name/ 来指定使用某个用户提供的镜像，比如 tianon 用户。另外，在查找的时候通过 -s N 参数可以指定仅显示评价为 N 星以上的镜像。
　　创建自己的仓库----镜像仓库
　　拓扑：

　　说明:
　　docker.benet.com 这是docker registry服务器的主机名称， ip是192.168.1.107;因为https的SSL证书要用到主机名，所以要设置主机名。
　　docker registry 服务器作为处理docker镜像的最终上传和下载，用的是官方的镜像registry。
　　nginx 1.6.x 是一个用nginx作为反向代理服务器
　　注：关闭selinux
　　1）私有仓库https支持：
　　A)安装依赖软件包：

　　在Nginx编译需要PCRE，因为Nginx的Rewrite模块和HTTP核心模块会使用到PCRE正则表达式。需要安装pcre和pcre-devel用yum就能安装。
　　Zlib库提供了开发人员的压缩算法，在nginx的模块中需要使用gzip压缩。
　　需要安装zlib和zlib-devel用yum就可以安装
　　在Nginx中如果需要为服务器提供安全则需要用到OpenSSL库。
　　需要安装的是openssl和openssl-devel。用yum就可以安装。
　　B)配置SSL
　　(1) 编辑/etc/hosts,把docker.benet.com的ip地址添加进来,例如:
　　主机名、ip地址：

　　/etc/hosts文件内容：

　　(2) 生成根密钥
　　先把
　　/etc/pki/CA/cacert.pem  
/etc/pki/CA/index.txt  
/etc/pki/CA/index.txt.attr  
/etc/pki/CA/index.txt.old  
/etc/pki/CA/serial  
/etc/pki/CA/serial.old
　　删除掉!

　　(3) 生成根证书
　　执行

　　输出如下信息

　　会提示输入一些内容，因为是私有的，所以可以随便输入，最好记住能与后面保持一致,特别是"Common Name”。必须要和hostname显示的一致。
　　上面的自签证书cacert.pem应该生成在/etc/pki/CA下。

　　(4) 为nginx web服务器生成ssl密钥
　　#mkdir /etc/pki/CA/ssl
　　#cd /etc/pki/CA/ssl

　　注：因为CA中心与要申请证书的nginx服务器是同一个所以就在本机上执行为nginx服务器生成ssl密钥了，否则应该是在另一台需要用到证书的服务器上生成。
　　查看nginx服务器的密钥

　　(5) 为nginx生成证书签署请求
　　执行
　　openssl req -new -key nginx.key -out nginx.csr
　　输出如下信息

　　同样会提示输入一些内容，Commone Name一定要是你要授予证书的服务器域名或主机名，challenge password不填。
　　(6) 私有CA根据请求来签发证书

　　执行
　　openssl ca -in nginx.csr -out nginx.crt
　　输出内容：

　　同样会提示输入一些内容，选择y就可以了!
　　查看nginx的证书

　　C) 安装,配置,运行nginx
　　(1) 添加组和用户

　　(2) 下载nginx源文件:

　　(3) 编译,安装nginx:

　　上述选项的解释：
　　--user=USER 设定程序运行的用户环境(www)   
--group=GROUP 设定程序运行的组环境(www)
　　--prefix=PATH 设定安装目录
　　--with-pcre 启用pcre库，Nginx的Rewrite模块和HTTP核心模块会使用到PCRE正则表达式
　　--with-http_stub_status_module 是为了启用 nginx 的 NginxStatus 功能，用来监控 Nginx 的当前状态
　　--with-http_ssl_module                     开启SSL模块，支持使用HTTPS协议的网页
　　--with-http_realip_module                开启Real IP的支持，该模块用于从客户请求的头数据中读取Real Ip地址
　　--with-http_addition_module           开启Addtion模块，该模块允许你追加或前置数据到相应的主体部分
　　--with-http_flv_module模块ngx_http_flv_module 为Flash Video(FLV)文件 提供服务端伪流媒体支持

　　(4) 编辑/opt/nginx/conf/nginx.conf文件
　　# vi /opt/nginx/conf/nginx.conf
　　user www;
　　worker_processes 4;
　　events {
　　worker_connections 4096;
　　}
　　http {
　　include mime.types;
　　default_type application/octet-stream;
　　sendfile on;
　　keepalive_timeout 65;
　　upstream registry {
　　server 192.168.1.107:5000;
　　}
　　server {
　　listen 443 ssl;
　　server_name docker.benet.com;
　　ssl_certificate /etc/pki/CA/ssl/nginx.crt;
　　ssl_certificate_key /etc/pki/CA/ssl/nginx.key;
　　ssl_session_cache shared:SSL:1m;
　　ssl_session_timeout 5m;
　　ssl_ciphers HIGH:!aNULL:!MD5;
　　ssl_prefer_server_ciphers on;
　　location / {
　　proxy_pass http://registry;
　　client_max_body_size 3000m;
　　proxy_set_header Host $host;
　　proxy_set_header X-Forward-For $remote_addr;
　　}
　　}
　　}
　　相关选项含义：
　　ssl_session_cache 会话缓存用于保存SSL会话，这些缓存在工作进程间共享，可以使用ssl_session_cache指令进行配置。1M缓存可以存放大约4000个会话。
　　ssl_session_timeout 缓存超时，默认的缓存超时是5分钟。
　　ssl_ciphers HIGH:!aNULL:!MD5 使用高强度的加密算法
　　ssl_prefer_server_ciphers on 依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码。即：在SSLv3或这是TLSv1握手时选择一个密码，通常是使用客户端的偏好。如果这个指令是启用的，那么服务器反而是使用服务器的偏好。
　　client_max_body_size 即允许上传文件大小的最大值
　　proxy_set_header Host $host和proxy_set_header X-Forward-For $remote_addr的作用描述：
　　nginx为了实现反向代理的需求而增加了一个ngx_http_proxy_module模块。其中proxy_set_header指令就是该模块需要读取的配置文件。在这里，所有设置的值的含义和http请求同中的含义完全相同，除了Host外还有X-Forward-For。   
Host的含义是表明请求的主机名，因为nginx作为反向代理使用，而如果后端真实的服务器设置有类似防盗链或者根据http请求头中的host字段来进行路由或判断功能的话，如果反向代理层的nginx不重写请求头中的host字段，将会导致请求失败【默认反向代理服务器会向后端真实服务器发送请求，并且请求头中的host字段应为proxy_pass指令设置的服务器】。   
同理，X_Forward_For字段表示该条http请求是有谁发起的？如果反向代理服务器不重写该请求头的话，那么后端真实服务器在处理时会认为所有的请求都来自反向代理服务器，如果后端有防攻击策略的话，那么机器就被封掉了。因此，在配置用作反向代理的nginx中一般会增加两条配置，修改http的请求头：   
proxy_set_header Host $ host;   
proxy_set_header X-Forward-For $remote_addr;   
这里的$ host和$remote_addr都是nginx的导出变量，可以再配置文件中直接使用。
　　(5) 验证配置
　　/opt/nginx/sbin/nginx –t

　　(6) 启动nginx:
　　执行/opt/nginx/sbin/nginx

　　(7) 验证nginx是否启动:

　　2） 配置,运行Docker
　　(1) 停止docker

　　(2)编辑/etc/sysconfig/docker文件,加上如下一行
　　DOCKER_OPTS="--insecure-registry docker.benet.com --tlsverify --tlscacert /etc/pki/CA/cacert.pem"
　　(3) 把根证书复制到/etc/docker/certs.d/docker.yy.com/目录下
　　mkdir -p /etc/docker/certs.d/docker.benet.com
　　cp /etc/pki/CA/cacert.pem /etc/docker/certs.d/docker.benet.com/ca-certificates.crt
　　(4) 启动docker

　　3）运行私有仓库容器
　　通过获取官方 registry 镜像来运行

　　使用官方的 registry 镜像来启动本地的私有仓库。 用户可以通过指定参数来配置私有仓库位置。
　　例如将目录/opt/data/registry作为私有仓库的位置

　　运行私有仓库容器

　　可以通过 -v 参数来将镜像文件存放在本地的指定路径。 例如上面的例子将上传的镜像放到 /opt/data/registry 目录。
　　-p（小写的）用于将容器的5000端口映射宿主机的5000端口。
　　4）验证registry:
　　用浏览器输入: https://docker.benet.com

　　或者:curl -i -k https://docker.benet.com

　　curl是通过url语法在命令行下上传或下载文件的工具软件，它支持http,https,ftp,ftps,telnet等多种协议，常被用来抓取网页和监控Web服务器状态
　　服务端的配置就到此完成!
　　注意：注意防火墙
　　5）Docker客户端配置
　　(1)编辑/etc/hosts,把docker.benet.com的ip地址添加进来,例如:

　　(2)把docker registry服务器端的根证书追加到ca-certificates.crt文件里
　　先从docker registry服务器端把文件/etc/pki/CA/cacert.pem拷贝到本机,然后执行命令:
　　cat ./cacert.pem >> /etc/pki/tls/certs/ca-certificates.crt

　　(3) 验证docker.yy.com下的registry:
　　用浏览器输入: https://docker.benet.com

　　或者:curl -i -k https://docker.benet.com

　　(4) 使用私有registry步骤:
　　? 登录: docker login -u testuser -p pwd123 -e "test@benet.com" https://docker.benet.com

　　? 从Docker HUB 上拉取一个镜像测试，为基础镜像打个标签:
　　docker tag centos:centos6 docker.benet.com/centos:centos6

　　? 发布: 上传镜像到本地私有仓库
　　docker push docker.benet.com/centos:centos6

　　查看私有仓库是否有对应的镜像
　　# curl 192.168.0.167:5000/v1/search
　　查看镜像的存储目录和文件（在镜像服务器）
　　tree /opt/data/registry/repositories

　　从私有仓库pull下来image，查看image

　　查看私有仓库是否有对应的镜像

　　或浏览器访问仓库

　　(1) 弊端:
　　server端可以login到官方的Docker Hub,可以pull,push官方和私有仓库!  
client端只能操作搭设好的私有仓库!  
私有仓库不能search!
　　(2) 优点:
　　所有的build,pull,push操作只能在私有仓库的server端操作,降低企业风险!
　　(3) 当client端docker login到官方的https://index.docker.io/v1/网站,出现x509: certificate signed by unknown authority错误时
　　重命名根证书mv /etc/pki/tls/certs/ca-certificates.crt /etc/pki/tls/certs/ca-certificates.crt.bak   
重启docker服务! service docker restart!