如何在Linux上搭建本地Docker Registry镜像仓库并实现公网访问

一、环境准备与基础部署

1.1 系统要求与依赖安装

建议使用CentOS 7/8或Ubuntu 20.04 LTS等稳定发行版，需满足：

• 至少2核CPU、4GB内存
• 100GB以上磁盘空间（根据镜像存储需求调整）
• 开启防火墙端口（默认5000）

安装必要依赖：

# CentOS系统
sudo yum install -y docker curl wget
# Ubuntu系统
sudo apt update && sudo apt install -y docker.io curl wget

1.2 Docker服务配置

修改Docker守护进程配置以支持私有仓库：

sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "insecure-registries": ["your-server-ip:5000"]
}
EOF

重启Docker服务：

sudo systemctl restart docker
sudo systemctl enable docker

二、基础Registry部署

2.1 快速启动Registry容器

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  registry:2.7.1

关键参数说明：

• -p 5000:5000：端口映射
• --restart=always：容器异常时自动重启
• registry:2.7.1：指定稳定版本

2.2 验证基础功能

推送测试镜像：

docker pull alpine:latest
docker tag alpine:latest your-server-ip:5000/alpine:latest
docker push your-server-ip:5000/alpine:latest

三、HTTPS安全配置（生产环境必备）

3.1 证书生成与配置

使用Let’s Encrypt免费证书：

# 安装certbot
sudo apt install -y certbot python3-certbot-nginx
# 获取证书（需域名）
sudo certbot certonly --nginx -d registry.yourdomain.com

3.2 配置HTTPS Registry

创建认证目录：

sudo mkdir -p /etc/docker/registry/auth
sudo mkdir -p /etc/docker/registry/certs

生成HTTP基础认证：

sudo apt install -y apache2-utils
sudo htpasswd -Bc /etc/docker/registry/auth/htpasswd username

启动HTTPS Registry：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /etc/docker/registry/auth:/auth \
  -v /etc/docker/registry/certs:/certs \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/fullchain.pem \
  -e REGISTRY_HTTP_TLS_KEY=/certs/privkey.pem \
  registry:2.7.1

四、公网访问实现方案

4.1 端口转发配置

方案一：云服务器安全组

• 阿里云/腾讯云：在安全组规则中开放5000端口
• AWS：修改Security Group入站规则

方案二：本地服务器NAT

# iptables示例配置
sudo iptables -t nat -A PREROUTING -p tcp --dport 5000 -j DNAT --to-destination 192.168.1.100:5000
sudo iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 5000 -j ACCEPT

4.2 反向代理配置（Nginx示例）

server {
    listen 443 ssl;
    server_name registry.yourdomain.com;
    ssl_certificate /etc/letsencrypt/live/registry.yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/registry.yourdomain.com/privkey.pem;
    location / {
        proxy_pass http://localhost:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

4.3 访问控制优化

配置IP白名单：

docker run -d \
  -p 5000:5000 \
  --name registry \
  -e REGISTRY_STORAGE_DELETE_ENABLED=true \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_HTTP_SECRET=yoursecret \
  -e REGISTRY_ACCESS_CONTROL=[{"type":"ip","action":"allow","name":"trusted","ranges":["192.168.1.0/24"]}] \
  registry:2.7.1

五、高级功能配置

5.1 镜像清理机制

配置自动清理：

docker run -d \
  -v /var/lib/registry:/var/lib/registry \
  -e REGISTRY_STORAGE_DELETE_ENABLED=true \
  registry:2.7.1

手动清理脚本示例：

#!/bin/bash
REGISTRY_DATA_DIR="/var/lib/registry"
find $REGISTRY_DATA_DIR/docker/registry/v2/repositories -name "link" -exec rm {} \;

5.2 存储后端扩展

配置S3兼容存储：

docker run -d \
  -e REGISTRY_STORAGE=s3 \
  -e REGISTRY_STORAGE_S3_ACCESSKEY=your-access-key \
  -e REGISTRY_STORAGE_S3_SECRETKEY=your-secret-key \
  -e REGISTRY_STORAGE_S3_REGION=us-west-1 \
  -e REGISTRY_STORAGE_S3_BUCKET=your-bucket-name \
  -e REGISTRY_STORAGE_S3_ENCRYPT=true \
  registry:2.7.1

六、监控与维护

6.1 基础监控指标

# 查看存储使用情况
du -sh /var/lib/registry
# 检查容器状态
docker stats registry

6.2 日志分析配置

配置日志驱动：

docker run -d \
  --log-driver=json-file \
  --log-opt max-size=10m \
  --log-opt max-file=3 \
  --name registry \
  registry:2.7.1

七、常见问题解决方案

7.1 推送镜像报错处理

错误示例：

The push refers to repository [your-server-ip:5000/alpine]
Get https://your-server-ip:5000/v2/: http: server gave HTTP response to HTTPS client

解决方案：

1. 检查/etc/docker/daemon.json配置
2. 确认是否使用HTTPS且证书有效
3. 对于测试环境可临时使用insecure-registries

7.2 性能优化建议

• 启用Registry缓存：-e REGISTRY_PROXY_REMOTEURL=https://registry-1.docker.io
• 调整JVM参数（如使用Java版Registry）：-e JAVA_OPTS="-Xmx2g -Xms2g"

八、完整部署脚本示例

#!/bin/bash
# 基础环境准备
sudo apt update && sudo apt install -y docker.io certbot python3-certbot-nginx apache2-utils
# 配置Docker守护进程
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "insecure-registries": [],
  "registry-mirrors": ["https://registry.docker-cn.com"]
}
EOF
sudo systemctl restart docker
# 获取SSL证书（需提前配置域名DNS）
sudo certbot certonly --nginx -d registry.yourdomain.com
# 创建认证目录
sudo mkdir -p /etc/docker/registry/{auth,certs}
sudo htpasswd -Bc /etc/docker/registry/auth/htpasswd admin
# 启动Registry容器
docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /etc/docker/registry/auth:/auth \
  -v /etc/docker/registry/certs:/certs \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/fullchain.pem \
  -e REGISTRY_HTTP_TLS_KEY=/certs/privkey.pem \
  -e REGISTRY_STORAGE_DELETE_ENABLED=true \
  registry:2.7.1
# 配置Nginx反向代理
sudo tee /etc/nginx/sites-available/registry <<-'EOF'
server {
    listen 443 ssl;
    server_name registry.yourdomain.com;
    ssl_certificate /etc/letsencrypt/live/registry.yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/registry.yourdomain.com/privkey.pem;
    location / {
        proxy_pass http://localhost:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
EOF
sudo ln -s /etc/nginx/sites-available/registry /etc/nginx/sites-enabled/
sudo nginx -t && sudo systemctl restart nginx
echo "部署完成！访问地址：https://registry.yourdomain.com"

九、最佳实践建议

1. 定期备份：设置cron任务备份/var/lib/registry目录
2. 访问审计：通过Nginx日志分析镜像访问情况
3. 版本控制：使用registry:2.7.1等明确版本号而非latest
4. 资源监控：配置Prometheus监控Registry容器指标

通过以上步骤，您可以在Linux服务器上构建一个安全、可靠且支持公网访问的私有Docker Registry，满足企业级镜像管理需求。实际部署时建议先在测试环境验证所有功能，再迁移到生产环境。