一、Docker镜像与容器的导入导出

在Docker生态中，镜像和容器的导入导出是跨环境迁移、备份恢复的核心操作。掌握这些技术不仅能提升运维效率，还能有效规避因环境差异导致的部署问题。

1.1 镜像的导入导出

导出镜像使用docker save命令可将本地镜像打包为tar归档文件，语法为：

docker save -o <输出文件路径> <镜像名>:<标签>
# 示例：导出nginx镜像
docker save -o nginx_v1.21.tar nginx:1.21

该操作会保留镜像的所有层结构，适用于离线环境部署。对于大型镜像，建议结合gzip压缩以减少传输体积：

docker save nginx:1.21 | gzip > nginx_v1.21.tar.gz

导入镜像通过docker load命令还原tar文件：

docker load -i <输入文件路径>
# 示例：导入并查看镜像
docker load -i nginx_v1.21.tar
docker images | grep nginx

导入后的镜像会保留原标签信息，可直接用于容器创建。

1.2 容器的导入导出

容器导出与镜像导出有本质区别：容器导出的是运行时的文件系统快照，而非完整的镜像层。

导出容器使用docker export命令：

docker export -o <输出文件路径> <容器ID或名称>
# 示例：导出运行中的nginx容器
CONTAINER_ID=$(docker ps | grep nginx | awk '{print $1}')
docker export -o nginx_container.tar $CONTAINER_ID

此操作会忽略容器的元数据（如环境变量、端口映射），仅保留文件系统内容。

导入容器通过docker import创建新镜像：

docker import <输入文件路径> <新镜像名>:<标签>
# 示例：导入并运行容器
docker import nginx_container.tar my_nginx:v1
docker run -d -p 8080:80 my_nginx:v1

需注意，导入的容器需手动配置网络、卷挂载等参数。

1.3 高级应用场景

• 跨平台迁移：导出时使用--format=docker参数确保兼容性
• 增量备份：结合rsync实现镜像仓库的差异同步
• 安全传输：对导出的tar文件进行GPG加密

  gpg --encrypt --recipient user@example.com nginx_v1.21.tar

二、私有仓库搭建与运维

私有Docker仓库是企业级应用的核心基础设施，可解决镜像安全分发、版本控制等痛点。

2.1 Registry基础部署

官方Registry镜像提供了轻量级解决方案：

docker run -d -p 5000:5000 --name registry \
  -v /data/registry:/var/lib/registry \
  registry:2

关键参数说明：

• -v：持久化存储镜像数据
• -p：映射HTTP端口（默认5000）
• --restart：建议添加unless-stopped策略

2.2 安全加固方案

2.2.1 HTTPS配置

生成自签名证书：

mkdir -p certs
openssl req -newkey rsa:4096 -nodes -sha256 \
  -keyout certs/domain.key -x500 \
  -subj "/CN=registry.example.com" \
  -out certs/domain.csr
openssl x509 -req -days 365 -in certs/domain.csr \
  -signkey certs/domain.key -out certs/domain.crt

启动带TLS的Registry：

docker run -d -p 5000:5000 --name registry \
  -v /path/to/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

2.2.2 认证机制

使用htpasswd创建认证文件：

mkdir auth
docker run --entrypoint htpasswd \
  registry:2 -Bbn testuser testpass > auth/htpasswd

配置Registry使用基本认证：

docker run -d -p 5000:5000 --name registry \
  -v /path/to/auth:/auth \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
  registry:2

2.3 高级功能实现

2.3.1 镜像清理策略

配置删除API和垃圾回收：

# 启用删除API
-e REGISTRY_STORAGE_DELETE_ENABLED=true
# 手动触发垃圾回收
docker exec registry bin/registry garbage-collect \
  /etc/registry/config.yml

2.3.2 镜像签名验证

集成Notary实现内容信任：

# 安装Notary客户端
wget https://github.com/theupdateframework/notary/releases/download/v0.7.0/notary-Linux-amd64
chmod +x notary
# 初始化信任库
notary init example.com/repo

2.4 企业级方案对比

三、最佳实践建议

1. 镜像命名规范：采用<registry>/<project>/<image>:<tag>格式
2. 存储优化：定期清理未引用的blob数据
3. 监控告警：集成Prometheus监控仓库指标
4. 灾备方案：实现多地域仓库同步

通过系统掌握镜像容器的导入导出技术，并搭建安全可靠的私有仓库，开发者可构建完整的Docker交付流水线，显著提升CI/CD效率。建议从官方Registry开始实践，逐步过渡到Harbor等企业级解决方案。