一、为什么需要自建镜像仓库？

在容器化部署日益普及的今天，Docker Hub等公共镜像仓库虽然方便，但存在以下痛点：

安全隐患：公共仓库的镜像可能被篡改或植入恶意代码
网络限制：企业内网环境无法直接访问外部仓库
存储成本：大量私有镜像占用公共仓库配额
版本控制：需要精细管理不同环境的镜像版本

自建镜像仓库不仅能解决上述问题，还能实现镜像的集中管理、权限控制和审计追踪，是企业级容器化部署的重要基础设施。

二、技术选型与方案比较

目前主流的私有镜像仓库方案主要有三种：

Docker Registry：Docker官方提供的轻量级镜像仓库
- 优点：部署简单，兼容性好
- 缺点：功能基础，缺乏高级管理功能
Harbor：VMware开源的企业级Registry项目
- 优点：功能完善，支持RBAC权限、镜像复制、漏洞扫描等
- 缺点：部署复杂度较高
Nexus Repository：Sonatype的通用二进制仓库
- 优点：支持多种格式（Docker、Maven、NPM等）
- 缺点：Docker支持需要额外配置

对于大多数开发者和小型团队，Docker Registry是最简单高效的入门选择。本文将以Docker Registry为例，演示从0到1的搭建过程。

三、环境准备与部署步骤

3.1 系统要求

操作系统：Linux（推荐CentOS/Ubuntu）
硬件配置：最低2核4G（生产环境建议4核8G以上）
存储空间：根据镜像数量规划（建议单独分区）
网络要求：开放5000端口（默认）

3.2 基础环境安装

# 以CentOS 7为例
sudo yum install -y epel-release
sudo yum install -y docker-ce
sudo systemctl enable docker
sudo systemctl start docker

3.3 基础Registry部署

最简单的部署方式是直接运行官方Registry镜像：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  registry:2

此时访问http://<服务器IP>:5000/v2/_catalog应该能看到空仓库列表。

3.4 配置HTTPS支持（生产环境必需）

自签名证书配置步骤：

生成证书：

mkdir -p /certs
openssl req -newkey rsa:4096 -nodes -sha256 \
-keyout /certs/domain.key \
-x509 -days 365 \
-out /certs/domain.crt \
-subj "/CN=registry.example.com"

启动带证书的Registry：

docker run -d \
-p 5000:5000 \
--restart=always \
--name registry \
-v /certs:/certs \
-e REGISTRY_HTTP_ADDR=0.0.0.0:5000 \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
registry:2

客户端配置（需要信任自签名证书）：

# Linux客户端
sudo mkdir -p /etc/docker/certs.d/registry.example.com:5000
sudo cp /certs/domain.crt /etc/docker/certs.d/registry.example.com:5000/ca.crt
sudo systemctl restart docker

四、进阶功能配置

4.1 存储优化配置

修改/etc/docker/registry/config.yml（需要先创建目录）：

version: 0.1
log:
  fields:
    service: registry
storage:
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
  delete:
    enabled: true
http:
  addr: :5000
  headers:
    X-Content-Type-Options: [nosniff]
health:
  storagedriver:
    enabled: true
    interval: 10s
    threshold: 3

4.2 认证配置

使用htpasswd创建用户：

mkdir -p /auth
docker run --entrypoint htpasswd \
  registry:2 -Bbn testuser testpass > /auth/htpasswd

启动带认证的Registry：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /auth:/auth \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
  -v /certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

五、镜像推送完整流程

5.1 标记本地镜像

docker tag nginx:latest registry.example.com:5000/mynginx:v1

5.2 登录私有仓库

docker login registry.example.com:5000
# 输入用户名密码（testuser/testpass）

5.3 推送镜像

docker push registry.example.com:5000/mynginx:v1

5.4 验证推送结果

curl -X GET https://registry.example.com:5000/v2/mynginx/tags/list
# 应该返回包含v1的标签列表

六、运维管理最佳实践

定期备份：

# 备份镜像数据
tar -czvf registry-backup-$(date +%Y%m%d).tar.gz /var/lib/registry

监控告警：
- 监控存储空间使用率
- 监控推送/拉取请求成功率
- 设置磁盘空间告警阈值

清理策略：

# 删除未标记的blob（谨慎操作）
docker exec registry /bin/registry garbage-collect /etc/docker/registry/config.yml

高可用方案：
- 前端负载均衡
- 存储后端使用分布式文件系统
- 多节点部署实现冗余

七、常见问题解决方案

推送报错401 Unauthorized：
- 检查认证配置是否正确
- 确认客户端已登录
- 检查时间同步（NTP服务）
推送报错500 Internal Server Error：
- 检查存储空间是否充足
- 查看Registry日志：docker logs registry
- 检查文件权限
客户端连接超时：
- 检查防火墙设置
- 确认端口监听正常：netstat -tulnp | grep 5000
- 测试网络连通性：telnet registry.example.com 5000

八、扩展方案建议

对于中大型团队，建议考虑以下升级方案：

Harbor部署：

# 使用Helm Chart部署Harbor
helm install harbor -f harbor-values.yaml bitnami/harbor

多区域部署：
- 使用Registry的proxy功能实现镜像复制
- 配置Geo-DNS实现就近访问
集成CI/CD：
- 在Jenkins/GitLab CI中配置私有仓库认证
- 实现镜像构建-推送-部署自动化流水线

通过本文的详细指导，开发者可以完整掌握从0到1搭建私有镜像仓库的全过程。实际部署时建议先在测试环境验证，再逐步迁移到生产环境。随着业务发展，可以基于基础Registry逐步扩展为功能完善的企业级镜像管理平台。

从0到1：手把手搭建私有镜像仓库并推送镜像指南