Docker私有镜像仓库的搭建及认证

在容器化部署成为主流的今天，Docker私有镜像仓库已成为企业构建安全、高效CI/CD流程的核心组件。相比公有仓库，私有仓库不仅能有效控制镜像访问权限，还能显著提升内网镜像拉取速度。本文将系统阐述从基础环境搭建到高级认证配置的全流程，并提供生产环境实践建议。

一、基础环境准备

1.1 服务器选型要求

推荐配置：4核CPU/8GB内存/100GB SSD存储，操作系统建议CentOS 7/8或Ubuntu 20.04 LTS。需确保服务器具备公网IP或内网VIP，并开放5000(HTTP)和443(HTTPS)端口。存储方面，建议采用LVM管理独立磁盘分区，避免与系统盘混用。

1.2 Docker环境部署

# CentOS安装示例
curl -fsSL https://get.docker.com | sh
systemctl enable --now docker
# 配置国内镜像加速（可选）
cat > /etc/docker/daemon.json <<EOF
{
  "registry-mirrors": ["https://registry.docker-cn.com"]
}
EOF
systemctl restart docker

二、Registry服务部署

2.1 基础Registry搭建

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  registry:2.7.1

该配置提供无认证的HTTP服务，仅适用于测试环境。生产环境必须启用HTTPS和认证。

2.2 存储定制配置

通过卷挂载实现持久化存储和自定义配置：

mkdir -p /opt/registry/{auth,data,certs}
docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /opt/registry/data:/var/lib/registry \
  -v /opt/registry/auth:/auth \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  registry:2.7.1

三、HTTPS安全配置

3.1 自签名证书生成

openssl req -newkey rsa:4096 -nodes -sha256 -keyout /opt/registry/certs/domain.key \
  -x509 -days 365 -out /opt/registry/certs/domain.crt \
  -subj "/CN=registry.example.com"

3.2 启用HTTPS的Registry

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /opt/registry/data:/var/lib/registry \
  -v /opt/registry/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2.7.1

3.3 客户端证书配置

将CA证书分发至所有需要访问的客户端，并配置Docker信任该CA：

# Linux客户端配置
sudo mkdir -p /etc/docker/certs.d/registry.example.com:5000
sudo cp domain.crt /etc/docker/certs.d/registry.example.com:5000/ca.crt
sudo systemctl restart docker

四、认证机制实现

4.1 基本认证配置

使用htpasswd工具创建用户：

docker run --entrypoint htpasswd \
  registry:2.7.1 -Bbn testuser testpass > /opt/registry/auth/htpasswd

4.2 Token认证服务（高级）

对于企业级需求，可集成OAuth2或LDAP认证：

# 使用配置文件方式（config.yml）
version: 0.1
log:
  fields:
    service: registry
storage:
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
http:
  addr: :5000
  headers:
    X-Content-Type-Options: [nosniff]
auth:
  token:
    realm: https://auth.example.com/auth
    service: "registry.example.com"
    issuer: "auth.example.com"
    rootcertbundle: /path/to/cert.pem

4.3 角色权限控制

通过Registry的API实现细粒度控制，或结合Harbor等开源方案：

# Harbor安装示例（推荐生产环境使用）
docker-compose -f harbor.yml up -d

Harbor提供项目级权限管理、镜像复制、漏洞扫描等企业级功能。

五、生产环境实践建议

高可用架构：采用分布式存储（如NFS/Ceph）和负载均衡器

镜像清理策略：配置定期清理未使用的镜像层

# 通过API触发清理
curl -X DELETE "http://registry:5000/v2/_catalog"

监控告警：集成Prometheus监控镜像数量、存储使用率等指标
备份方案：每日全量备份+增量备份策略

六、常见问题解决方案

证书错误处理：
- 客户端报错x509: certificate signed by unknown authority
- 解决方案：确保证书链完整，客户端配置正确CA证书
认证失败排查：
- 检查REGISTRY_AUTH_HTPASSWD_PATH路径是否正确
- 验证用户密码是否包含特殊字符导致解析失败
性能优化：
- 启用缓存：-e REGISTRY_STORAGE_CACHE_BLOBDESCRIPTOR=inmemory
- 调整并发参数：-e REGISTRY_HTTP_SECRET=your_secret

七、进阶功能扩展

镜像签名验证：集成Notary实现内容信任
Webhook通知：配置镜像推送后触发CI流程
多租户管理：通过命名空间隔离不同团队镜像

通过以上配置，企业可构建满足等保2.0要求的私有镜像仓库。实际部署时，建议先在测试环境验证所有功能，再逐步迁移至生产环境。对于超大规模部署，可考虑采用VMware Harbor或JFrog Artifactory等商业解决方案。

Docker私有镜像仓库搭建与认证全攻略