Docker镜像仓库管理

发布时间: 2025-03-23 11:30

↑

# Docker镜像仓库管理

## 概述

Docker镜像仓库是存储和分发Docker镜像的核心组件。本文将详细介绍Docker镜像仓库的概念、搭建方法、使用技巧和最佳实践,帮助读者更好地管理和使用Docker镜像。

## 基本概念

### 1. 仓库类型

- 公共仓库
  - Docker Hub
  - Quay.io
  - GitHub Container Registry

- 私有仓库
  - Harbor
  - Docker Registry
  - Nexus

### 2. 镜像命名

```bash
# 镜像命名格式
[registry-host]:[port]/[username]/[repository]:[tag]

# 示例
docker.io/library/ubuntu:20.04
private-registry.com:5000/myapp:1.0
```

### 3. 认证机制

- 基本认证
- Token认证
- OAuth2认证
- 证书认证

## 仓库搭建

### 1. Docker Registry

```bash
# 启动Registry容器
docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /data/registry:/var/lib/registry \
  registry:2
```

### 2. 配置TLS

```bash
# 生成证书
openssl req -newkey rsa:4096 -nodes -sha256 \
  -keyout certs/domain.key \
  -x509 -days 365 \
  -out certs/domain.crt

# 启用HTTPS
docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /data/registry:/var/lib/registry \
  -v /data/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2
```

### 3. 访问控制

```bash
# 创建认证文件
docker run --entrypoint htpasswd \
  registry:2 -Bbn username password > auth/htpasswd

# 启用认证
docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /data/registry:/var/lib/registry \
  -v /data/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \
  registry:2
```

## 镜像管理

### 1. 推送镜像

```bash
# 登录仓库
docker login registry-host:port

# 标记镜像
docker tag image:tag registry-host:port/image:tag

# 推送镜像
docker push registry-host:port/image:tag
```

### 2. 拉取镜像

```bash
# 拉取镜像
docker pull registry-host:port/image:tag

# 使用镜像
docker run registry-host:port/image:tag
```

### 3. 镜像清理

```bash
# 删除本地镜像
docker rmi image:tag

# 清理未使用镜像
docker image prune

# 清理仓库镜像
curl -X DELETE registry-host:port/v2/image/manifests/tag
```

## 高级特性

### 1. 镜像同步

```bash
# 使用skopeo同步镜像
skopeo copy \
  docker://source-registry/image:tag \
  docker://dest-registry/image:tag

# 批量同步
for tag in $(curl -s https://registry/v2/image/tags/list | jq -r '.tags[]'); do
  skopeo copy \
    docker://source-registry/image:$tag \
    docker://dest-registry/image:$tag
done
```

### 2. 镜像扫描

```bash
# 使用Trivy扫描镜像
trivy image image:tag

# 集成到CI/CD
trivy image --exit-code 1 \
  --severity HIGH,CRITICAL \
  image:tag
```

### 3. 垃圾回收

```bash
# 执行垃圾回收
registry garbage-collect /etc/docker/registry/config.yml

# 配置自动清理
REGISTRY_STORAGE_DELETE_ENABLED=true
REGISTRY_STORAGE_GC_ENABLED=true
```

## 最佳实践

### 1. 安全建议

- 启用HTTPS
- 实施访问控制
- 定期更新证书
- 监控异常访问

### 2. 性能优化

- 使用缓存
- 配置存储驱动
- 启用压缩
- 合理设置限制

### 3. 运维建议

- 定期备份
- 监控资源使用
- 自动化管理
- 制定清理策略

## 常见问题

### 1. 推送失败

**问题**: 无法推送镜像

**解决方案**:
- 检查认证配置
- 验证网络连接
- 确认存储空间
- 查看错误日志

### 2. 拉取超时

**问题**: 镜像拉取缓慢

**解决方案**:
- 配置镜像加速
- 优化网络设置
- 检查代理配置
- 分析系统负载

### 3. 存储问题

**问题**: 存储空间不足

**解决方案**:
- 清理旧版本
- 配置自动清理
- 扩展存储空间
- 优化存储策略

## 监控管理

### 1. 监控指标

```bash
# 常用监控指标
- 存储使用率
- 请求响应时间
- 并发连接数
- 错误率统计
```

### 2. 日志分析

```bash
# 查看访问日志
tail -f /var/log/registry/access.log

# 分析请求统计
cat access.log | awk '{print $7}' | sort | uniq -c
```

### 3. 告警设置

```bash
# 存储告警
if [ $(df -h | grep /var/lib/registry | awk '{print $5}' | cut -d'%' -f1) -gt 80 ]; then
  send_alert "Registry storage usage high"
fi

# 服务告警
if ! curl -sf https://registry-host:port/v2/ > /dev/null; then
  send_alert "Registry service down"
fi
```

## 总结

Docker镜像仓库是容器化部署中不可或缺的组件。通过本文的介绍,读者可以了解如何搭建、配置和管理Docker镜像仓库,掌握镜像的推送、拉取和管理操作,同时了解性能优化和安全防护的最佳实践。在实际应用中,需要根据具体需求选择合适的仓库类型,并做好相应的运维工作。

## 参考资源

1. [Docker Registry文档](https://docs.docker.com/registry/)
2. [Harbor文档](https://goharbor.io/docs/)
3. [镜像安全最佳实践](https://docs.docker.com/develop/security-best-practices/)
4. [仓库配置指南](https://docs.docker.com/registry/configuration/)

元素码农