目录

一、在docker的官方网站中直接创建

二、搭建自己本地的仓库

2.1、搭建自己的本地仓库

2.2、为本地镜像添加认证

2.2.1、添加证书加密功能

2.2.2、添加用户登录认证

三、部署Harbor仓库

总所周知，Docker的强大主要是依赖于其仓库中镜像的存在，公用仓库不用说，那如何创建一个私有的个人仓库呢，本片文章小编会从三个方面进行简单的阐述。

一、在docker的官方网站中直接创建

首先在官方网址（/）中，创建属于自己的账户，在Repository中创建自己的仓库。

​

根据所需仓库要求，根据上述选项创建在官网自己的镜像仓库。

远程登录自己的镜像仓库，并进行相应的操作（具体操作在本地搭建私有仓库时进行讲解）。

二、搭建自己本地的仓库

2.1、搭建自己的本地仓库

在Docker的官方镜像中已经给我们提供了自己搭建仓库的镜像，我们只需要下载即可：

##获取官方镜像[root@server1 ~]# docker pull registry [root@server1 ~]# docker images registry##以该镜像为基础，启动容器[root@server1 ~]# docker run -d --name registry -p 5000:5000 -v /opt/registry:/var/lib/registry registry##上传镜像（需要先更改镜像名称，以指定上传的仓库）[root@server1 ~]# docker tag webserver:latest localhost:5000/webservr:latest[root@server1 ~]# docker push localhost:5000/webservr ##上传##查看挂载的地址[root@server1 ~]# tree /opt/registry##查看所挂载的镜像[root@server1 ~]# curl localhost:5000/v2/_catalog

上述过程就是我们简单的搭建了一个个人本地私有仓库，可以进行镜像的上传和获取！

[注]docker在镜像的上传和下载过程中默认的方式为：HTTPS。在上述测试过程中，我们可以临时将本地的仓库设为不安全的通信方式：

##设定registry为不安全的方式[root@server1 docker]# /etc/docker/daemon.json##文件内容{"insecure-registries" : [":5000"] ##表明仓库的地址}

​

2.2、为本地镜像添加认证

2.2.1、添加证书加密功能

##官方文档：/registry/insecure/##创建自签名证书[root@server1 ~]# mkdir -p certs[root@server1 ~]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/westos.key -x509 -days 365 -out certs/westos.crt##签名填写##在填写签名是，需要注意域名的填写，需要和认证保持一致##创建成功后，重新搭建容器registry（官方文档：/registry/deploying/）[root@server1 ~]# docker run -d --name registry -v "$(pwd)"/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/westos.crt -e REGISTRY_HTTP_TLS_KEY=/certs/westos.key -v /op/registry:/var/lib/registry -p 443:443 registry##查看存在的镜像[root@server1 ~]# curl -k https://localhost/v2/busybox/tags/list##上传镜像#把生成的证书传到docker的配置文件中[root@server1 ~]# mkdir -p /etc/docker/certs//[root@server1 ~]# cp ~/certs/.crt /etc/docker/certs//ca.crt##本地传输[root@server1 ~]# docker push localhost:443/webservr[root@server1 ~]# docker push /webservr##远程传输#复制证书文件[root@server1 ~]# scp /root/certs/.crt server:/etc/docker/certs//ca.crt#远程传输(需要提前更改好标签，做好地址解析)[root@server2 ~]# docker push /webserver:latest

2.2.2、添加用户登录认证

##官方文档：/registry/deploying/##安装htpasswd工具[root@server1 ~]# yum install -y httpd-tools##生成用户加密文件[root@server1 ~]# mkdir auth[root@server1 ~]# htpasswd -Bc auth/htpasswd admin## B 表示强制认证[root@server1 ~]# htpasswd -B auth/htpasswd linux## c 表示第一次创建##重现启动容器（使用镜像重新生成）[root@server1 ~]# docker rm -f registry[root@server1 ~]# docker run -d --name registry -v /opt/registry:/var/lib/registry -p 443:443 -v "$(pwd)"/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/.crt -e REGISTRY_HTTP_TLS_KEY=/certs/.key -v "$(pwd)"/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd registry##登录仓库，进行文件上传[root@server1 ~]# docker login #远程登录：保证网络畅通即可（需要注意的是这里启动时我们采用的是加密的传输方式，所以需要先将证书复制到docker文件中（/etc/docker/certs.d//ca.crt））[root@server2 ~]# docker login

​三、部署Harbor仓库

##资源下载：/goharbor/harbor/releases##解压安装包[root@server1 app]# tar zxf harbor-offline-installer-v2.3.2.tgz ##安装docker-compose文件[root@server1 harbor]# cat /usr/local/bin/docker-compose-linux-x86_64 >> /usr/local/bin/docker-compose[root@server1 harbor]# chmod +x /usr/local/bin/docker-compose[root@server1 harbor]# ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose##编辑配置文件[root@server1 harbor]# vim harbor.yml.tmpl##运行[root@server1 harbor]# ./install/sh[root@server1 harbor]# ./install.sh --with-notary --with-chartmuseum --with-trivy

【注】上述安装过程中可能会出现安装包的依赖性，此时需要安装docker-compose管理工具：

​

​

如果注释证书，此时需要将--insecure-reghistry添加到客户端的Docker的守护进程中，默认文件夹位置为：/etc/docker/daemo.json

内容：

{"registry-mirrors": [""], ####换成自己的镜像仓库地址,下载时也会首先从本地下载"insecure-registries" : ["172.25.21.5:80", "0.0.0.0"]}

配置完成后需要重启服务：

systemctl restart dockerdocker-compose down -vdocker-compose up -d

启动成功后，自动产生docker-compose.yml的配置文件

启动后的容器：

在网页登录：

使用docker-compose命令查看启动的容器组 ：

​

##harbor的使用，通常情况下使用docker-compose进行管理docker-compose down 关闭管理组中的的所有容器docker-compose stop 临时停止容器组中的所有容器docker-compose start 重现启动容器组中的所有容器

根据需求重新安装Harbor：

上述则是harbor的安装，使用过程则是分为图形界面的使用，以及在终端上的仓库上传，在上传时，首先要做的就是登录此时登录的仓库为：，同时必须设置标签（这里做签名），在获取镜像时需要写入全部名称（eg:docker pull /westos/ubuntu）。其他操作和私有仓库相同，这里不再做赘述，只进行签名认证的阐述。

##镜像签名##部署根证书/etc/docker/certs.d//ca/crt~/.docker/tls/:4443/ca.crt##启用docker内容信任export DOCKER_CONTENT_TRUST=1export DOCKER_CONTENT_TRUST_SERVER=:4443##长传镜像docker push /library/nginx:lattest##过程会生成两个密钥，包括根root key和仓库key##删除签名export DOCKER_CONTENT_TRUST=0docker trust reovke /library/nginx:latest