一、镜像与容器的导入导出：跨环境迁移的核心技能

1.1 镜像导出：从本地到文件的转换

镜像导出是Docker环境迁移的基础操作，通过docker save命令可将镜像打包为.tar格式文件。例如，将Nginx镜像导出：

docker save -o nginx_image.tar nginx:latest

此命令将nginx:latest镜像及其所有层、元数据保存至nginx_image.tar。导出文件包含镜像的完整历史记录，适用于离线环境部署或版本备份。

关键参数解析：

-o：指定输出文件名，支持绝对路径
镜像名称：必须包含标签（如:latest），否则会导出所有标签的镜像

最佳实践：

大型镜像（如包含数据库的镜像）建议分阶段导出
导出前使用docker images确认镜像版本，避免覆盖重要版本

1.2 镜像导入：从文件到本地仓库

通过docker load命令可将导出的.tar文件重新加载到本地镜像库：

docker load -i nginx_image.tar

导入后可通过docker images验证，镜像ID应与原始镜像一致。此操作常用于：

跨主机环境部署
离线环境初始化
镜像版本回滚

性能优化：

导入大文件时建议使用pv命令监控进度：
```
pv nginx_image.tar | docker load -i
```
导入后立即运行docker image prune清理无用层

1.3 容器导出：运行状态的完整快照

docker export命令可将运行中的容器导出为文件系统快照：

docker export -o nginx_container.tar nginx_container

此操作会丢弃容器的元数据（如环境变量、端口映射），仅保留文件系统内容。适用于：

快速复制容器状态
调试容器文件系统问题

1.4 容器导入：从快照重建运行环境

通过docker import可从文件系统快照创建新镜像：

docker import nginx_container.tar nginx_custom:v1

此操作会生成一个无历史记录的新镜像，需手动配置运行参数（如端口映射）。

高级用法：

结合docker commit先提交容器为镜像再导出：

docker commit nginx_container nginx_temp:v1
docker save -o nginx_temp.tar nginx_temp:v1

使用tar命令直接查看导出内容：
```
tar -tvf nginx_container.tar
```

二、私有仓库搭建：企业级容器管理的基石

2.1 私有仓库的核心价值

企业搭建私有仓库的三大驱动力：

安全控制：避免敏感镜像泄露至公共仓库
带宽优化：内部网络传输速度提升5-10倍
合规要求：满足金融、医疗等行业的审计需求

2.2 使用Registry镜像快速部署

Docker官方提供的registry镜像可快速搭建私有仓库：

docker run -d -p 5000:5000 --restart=always --name registry \
  -v /data/registry:/var/lib/registry \
  registry:2.7.1

参数详解：

-p 5000:5000：映射默认端口
-v：持久化存储配置
--restart=always：确保容器异常后自动重启

验证部署：

curl -I http://localhost:5000/v2/

应返回200 OK及Docker-Distribution-API-Version头信息。

2.3 基础认证配置

为仓库添加HTTP Basic认证：

创建密码文件：

mkdir -p /auth
docker run --entrypoint htpasswd \
  registry:2.7.1 -Bbn testuser testpass > /auth/htpasswd

启动带认证的仓库：

docker run -d -p 5000:5000 --restart=always --name registry \
  -v /auth:/auth \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
  -v /data/registry:/var/lib/registry \
  registry:2.7.1

客户端操作：

docker login localhost:5000
# 输入用户名密码后，推送镜像：
docker tag nginx:latest localhost:5000/nginx:latest
docker push localhost:5000/nginx:latest

2.4 高级配置：TLS加密与镜像清理

TLS加密配置

生成自签名证书：

mkdir -p /certs
openssl req -newkey rsa:4096 -nodes -sha256 -keyout /certs/domain.key \
  -x509 -days 365 -out /certs/domain.crt \
  -subj "/CN=registry.example.com"

启动带TLS的仓库：

docker run -d -p 5000:5000 --restart=always --name registry \
  -v /certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  -v /data/registry:/var/lib/registry \
  registry:2.7.1

镜像自动清理

配置垃圾回收策略：

docker exec registry registry garbage-collect /etc/docker/registry/config.yml

或通过API触发：

curl -X POST http://localhost:5000/v2/_catalog

2.5 企业级方案：Harbor私有仓库

对于大型企业，推荐使用VMware Harbor：

部署架构：
- 核心组件：Proxy、Core、Database、JobService、Registry
- 可选组件：Clair（漏洞扫描）、Notary（签名验证）

典型部署命令：

docker-compose -f docker-compose.yml up -d

Harbor优势：

图形化管理界面
基于角色的访问控制
镜像复制与同步
审计日志功能

三、实战案例：构建完整的镜像生命周期管理

3.1 开发环境到生产环境的迁移流程

开发阶段：

docker build -t myapp:dev .
docker save -o myapp_dev.tar myapp:dev

传输阶段（使用SCP）：

scp myapp_dev.tar user@prod-server:/tmp/

生产环境部署：

docker load -i /tmp/myapp_dev.tar
docker run -d -p 8080:8080 myapp:dev

3.2 私有仓库的备份策略

镜像备份：

# 获取所有镜像列表
docker images --format "{{.Repository}}:{{.Tag}}" | grep localhost:5000 > images.txt
# 批量导出
while read image; do
  docker save -o "${image//:/_}.tar" $image
done < images.txt

仓库元数据备份：

tar -czvf registry_metadata.tar.gz /data/registry

3.3 性能优化建议

存储优化：
- 使用overlay2存储驱动
- 定期运行docker system prune
网络优化：
- 私有仓库部署在内网核心交换机
- 启用Registry的--storage-redirect选项
安全加固：
- 限制仓库访问IP范围
- 启用镜像签名验证
- 定期更新Registry镜像

四、常见问题解决方案

4.1 推送镜像时的认证错误

错误现象：

denied: requested access to the resource is denied

解决方案：

确认已登录：
```
docker login localhost:5000
```

检查镜像标签是否包含仓库地址：

docker tag nginx:latest localhost:5000/nginx:latest

4.2 私有仓库500错误

排查步骤：

检查日志：
```
docker logs registry
```
常见原因：
- 存储目录权限不足
- 磁盘空间不足
- 配置文件语法错误

4.3 跨主机容器导入问题

典型场景：
从主机A导出的容器在主机B导入后无法启动