一、为什么需要私有镜像仓库？

在容器化部署场景中，公有镜像仓库（如Docker Hub）虽方便，但存在以下痛点：

网络依赖：国内访问Docker Hub常受网络限制，拉取镜像速度慢甚至失败。
安全隐患：公有仓库的镜像可能被篡改或包含恶意代码，企业敏感镜像需严格管控。
成本问题：公有仓库对私有镜像存储和下载可能收费，长期使用成本较高。
合规需求：金融、医疗等行业要求数据不出域，必须使用私有化存储。

私有镜像仓库的核心价值在于：提升效率、保障安全、降低成本、满足合规。通过自建仓库，团队可实现镜像的集中管理、快速分发和权限控制。

二、Docker Registry基础部署

1. 使用官方Registry镜像快速启动

Docker官方提供了轻量级的Registry镜像，适合快速测试：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  registry:2

参数说明：
- -p 5000:5000：将容器内5000端口映射到宿主机。
- --restart=always：容器退出时自动重启。
- registry:2：使用官方Registry v2版本。

2. 验证仓库可用性

推送本地镜像到私有仓库前，需先标记镜像：

docker tag ubuntu:latest localhost:5000/my-ubuntu
docker push localhost:5000/my-ubuntu

若出现HTTP 401 Unauthorized错误，说明未配置认证（后续章节会解决）。

3. 持久化存储配置

默认情况下，Registry数据存储在容器内，重启后数据丢失。需挂载宿主机目录：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /data/registry:/var/lib/registry \
  registry:2

/data/registry：宿主机存储目录，需确保有足够空间。

三、安全加固：认证与加密

1. 基础认证配置

使用htpasswd生成密码文件：

mkdir -p /auth
docker run --entrypoint htpasswd \
  httpd:2 -Bbn admin password123 > /auth/htpasswd

启动带认证的Registry：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /auth:/auth \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
  registry:2

测试认证：
```
docker login localhost:5000
```
输入用户名admin和密码password123。

2. HTTPS加密配置

生产环境必须使用HTTPS，避免明文传输。以Nginx反向代理为例：

生成自签名证书

mkdir -p /certs
openssl req -newkey rsa:4096 -nodes -sha256 -keyout /certs/domain.key \
  -x509 -days 365 -out /certs/domain.crt \
  -subj "/CN=registry.example.com"

配置Nginx

server {
    listen 443 ssl;
    server_name registry.example.com;
    ssl_certificate /certs/domain.crt;
    ssl_certificate_key /certs/domain.key;
    location / {
        proxy_pass http://localhost:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

修改Registry配置

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /auth:/auth \
  -v /certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
  registry:2

四、高级功能：存储驱动与清理策略

1. 存储驱动选择

Registry支持多种存储驱动，默认使用filesystem。对于大规模场景，推荐：

S3兼容存储：如MinIO、AWS S3。

docker run -d \
  -e REGISTRY_STORAGE=s3 \
  -e REGISTRY_STORAGE_S3_ACCESSKEY=your-accesskey \
  -e REGISTRY_STORAGE_S3_SECRETKEY=your-secretkey \
  -e REGISTRY_STORAGE_S3_BUCKET=registry-bucket \
  -e REGISTRY_STORAGE_S3_REGION=us-east-1 \
  registry:2

2. 镜像清理策略

Registry不会自动删除未引用的镜像层，需手动清理：

# 进入Registry容器
docker exec -it registry sh
# 使用registry垃圾回收工具
registry garbage-collect /etc/docker/registry/config.yml

定时任务：可通过cron定期执行清理。

五、监控与日志管理

1. 基础日志配置

Registry默认输出日志到stdout，可通过docker logs查看：

docker logs -f registry

2. 集成Prometheus监控

启用Registry的Prometheus指标：

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -e REGISTRY_HTTP_ADDR=0.0.0.0:5000 \
  -e REGISTRY_METRICS_ENABLED=true \
  registry:2

在Prometheus配置中添加抓取任务：

scrape_configs:
  - job_name: 'registry'
    static_configs:
      - targets: ['registry.example.com:5000']

六、最佳实践与常见问题

1. 最佳实践

版本控制：镜像标签应包含版本号（如v1.0.0），避免使用latest。
镜像签名：使用Docker Content Trust（DCT）确保镜像完整性。
备份策略：定期备份Registry存储目录或S3桶数据。

2. 常见问题

问题1：推送镜像时出现500 Internal Server Error。
- 原因：存储空间不足或权限问题。
- 解决：检查/var/lib/registry空间，确保容器以正确用户运行。
问题2：HTTPS证书不受信任。
- 原因：自签名证书未被客户端信任。
- 解决：将证书添加到客户端信任链，或使用Let’s Encrypt免费证书。

七、总结与扩展

通过本文，读者已掌握：

使用Docker官方Registry快速搭建私有仓库。
配置基础认证和HTTPS加密。
选择存储驱动和清理策略。
集成监控和日志管理。

扩展建议：

对于企业级场景，可考虑Harbor（VMware开源的增强版Registry），提供更完善的权限管理、漏洞扫描等功能。
结合CI/CD流水线，实现镜像的自动构建、测试和推送。

私有镜像仓库是容器化部署的关键基础设施，合理配置可显著提升开发效率和安全性。

Docker搭建私有镜像仓库：从部署到安全加固的全流程指南