自建Docker镜像仓库：基于Registry的完整搭建指南

一、为何需要自建Docker镜像仓库？

随着容器化技术的普及，Docker镜像已成为应用分发和部署的核心载体。但在企业场景中，依赖公有镜像仓库（如Docker Hub）存在以下痛点：

• 安全性风险：公有仓库可能被植入恶意镜像，且网络传输过程易遭中间人攻击。
• 网络依赖：国内用户访问Docker Hub常因网络问题导致拉取失败，影响CI/CD流程。
• 成本问题：公有仓库的免费存储和带宽有限，大规模使用需支付高额费用。
• 合规需求：金融、医疗等行业要求数据不出域，必须使用私有仓库。

通过自建Registry镜像仓库，可实现镜像的集中管理、安全存储和高效分发，同时支持与现有CI/CD工具链（如Jenkins、GitLab）无缝集成。

二、Registry基础搭建：快速入门

1. 环境准备

• 服务器要求：建议2核4G以上配置，操作系统为CentOS 7/8或Ubuntu 20.04+。
• 依赖安装：

  # CentOS示例
  sudo yum install -y docker
  sudo systemctl enable --now docker

2. 基础Registry部署

Docker官方Registry镜像已内置核心功能，可通过以下命令快速启动：

docker run -d \
  --name registry \
  -p 5000:5000 \
  --restart always \
  registry:2

此命令会启动一个无认证、无加密的临时仓库，仅适合测试环境。生产环境需进行安全加固。

三、安全加固：HTTPS与认证配置

1. HTTPS证书配置

为防止镜像传输被篡改，必须启用HTTPS。以自签名证书为例：

# 生成证书
mkdir -p /certs
openssl req -newkey rsa:4096 -nodes -sha256 -keyout /certs/domain.key \
  -x509 -days 365 -out /certs/domain.crt \
  -subj "/CN=registry.example.com"
# 启动带证书的Registry
docker run -d \
  --name registry \
  -p 5000:5000 \
  -v /certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  --restart always \
  registry:2

客户端需将证书添加至信任链，或通过--insecure-registry参数临时绕过验证（不推荐生产环境使用）。

2. 基础认证配置

Registry支持HTTP Basic认证，可通过htpasswd工具生成密码文件：

mkdir -p /auth
docker run --entrypoint htpasswd \
  registry:2 -Bbn admin password123 > /auth/htpasswd
# 启动带认证的Registry
docker run -d \
  --name registry \
  -p 5000:5000 \
  -v /auth:/auth \
  -e REGISTRY_AUTH=htpasswd \
  -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \
  --restart always \
  registry:2

客户端推送镜像前需执行docker login registry.example.com登录。

四、进阶功能：存储后端与镜像清理

1. 存储后端扩展

默认情况下，Registry将镜像存储在容器本地文件系统，重启后数据丢失。建议配置以下存储后端：

• S3兼容存储（如MinIO、AWS S3）：

  docker run -d \
    --name registry \
    -e REGISTRY_STORAGE=s3 \
    -e REGISTRY_STORAGE_S3_ACCESSKEY=your-accesskey \
    -e REGISTRY_STORAGE_S3_SECRETKEY=your-secretkey \
    -e REGISTRY_STORAGE_S3_REGION=us-east-1 \
    -e REGISTRY_STORAGE_S3_BUCKET=your-bucket \
    --restart always \
    registry:2

• NFS存储：通过-v参数挂载NFS共享目录。

2. 镜像清理策略

Registry不会自动删除未引用的镜像层，需通过registry garbage-collect命令手动清理：

# 进入Registry容器执行清理
docker exec -it registry sh -c "registry garbage-collect /etc/docker/registry/config.yml"

或配置定时任务（如通过Cron）定期执行。

五、企业级实践：高可用与监控

1. 高可用部署

• 多节点集群：通过NFS或S3共享存储，多个Registry实例指向同一存储后端。

• 负载均衡：使用Nginx或HAProxy实现请求分发，示例配置如下：

  upstream registry {
    server registry1:5000;
    server registry2:5000;
  }
  server {
    listen 5000;
    location / {
      proxy_pass http://registry;
      proxy_set_header Host $host;
    }
  }

2. 监控与日志

• Prometheus监控：通过Registry的/metrics端点暴露指标，配置Prometheus抓取。
• 日志分析：将Registry日志输出至ELK或Loki+Grafana栈，实现可视化分析。

六、常见问题与解决方案

1. 镜像推送失败

• 错误现象：Get https://registry.example.com/v2/: http: server gave HTTP response to HTTPS client
• 原因：客户端未正确配置HTTPS信任链。
• 解决：将证书添加至/etc/docker/certs.d/registry.example.com/ca.crt，或使用--insecure-registry（仅测试环境）。

2. 存储空间不足

• 优化建议：
  • 启用镜像压缩：-e REGISTRY_STORAGE_DELETE_ENABLED=true
  • 定期清理未使用的镜像：结合docker system prune和Registry清理工具。

七、总结与扩展建议

自建Docker镜像仓库是容器化部署的关键基础设施，通过合理配置可实现：

• 安全性：HTTPS加密、RBAC权限控制、镜像签名验证。
• 可靠性：多节点集群、存储冗余、灾备恢复。
• 可观测性：指标监控、日志分析、告警机制。

对于超大规模场景，可考虑商业版解决方案（如Harbor、JFrog Artifactory），它们提供了更完善的GUI管理、漏洞扫描和镜像复制功能。但Registry作为开源方案，已能满足80%以上的企业需求，且具有零成本、高灵活性的优势。

实践建议：

1. 从小规模测试环境开始，逐步验证功能。
2. 优先解决安全痛点（HTTPS、认证），再优化性能。
3. 结合Ansible或Terraform实现自动化部署，降低运维成本。