centos7搭建docker私人仓库（kubernetes）

咱们平时镜像都是习惯于放在公共仓库的，好比Dockerhub, Daocloud。但在企业里，咱们常常会须要搭建公司本身的镜像仓库。
这篇文章讲解如何用docker提供的registry镜像来搭建本身的镜像仓库。

不添加ssl认证的仓库

下面用registry:2.6.2镜像建立docker仓库。
将宿主机的5000端口映射到容器的5000端口。
将宿主机/mnt/registry挂在到容器的/var/lib/registry目录，容器里的这个目录就是存放镜像的地方。这样能够将数据持久化，当容器挂掉时镜像不会丢失。

mkdir /mnt/registry

docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v /mnt/registry:/var/lib/registry \
  registry:2.6.2

docker仓库是须要ssl认证的，因为如今没有添加ssl认证，须要在docker客户端添加参数：

vim /etc/sysconfig/docker

# 在OPTIONS下添加--insecure-registry=<host-ip>:5000
OPTIONS='--selinux-enabled --log-driver=json-file --signature-verification=false --insecure-registry=10.34.31.13:5000'

# 重启docker
systemctl restart docker

咱们能够测试一下新建的仓库是否可用。

docker push 10.34.31.13:5000/hello-world:v1

但这样形式的仓库可用性不高，好比咱们有多个镜像仓库要使用，咱们须要常常去修改--insecure-registry参数。
下面会讲解如何建立一个https协议的高可用仓库。

建立一个带ssl认证的高可用仓库

1. 安装openssl

   yum install -y openssl

2. 修改openssl.cnf文件

   vim /etc/pki/tls/openssl.cnf
   
   # 找到v3_ca,在下面添加宿主机的IP地址
   [ v3_ca ]
   subjectAltName = IP:10.34.31.13

   若是没有修改这个文件，最后生成的ssl证书使用时会报错以下：

   x509: cannot validate certificate 10.34.31.13 because it doesn't contain any IP SANs

3. 生成ssl证书

   mkdir /certs
   openssl req -newkey rsa:4096 -nodes -sha256 \
               -keyout /certs/domain.key -x509 -days 1000 \
               -out /certs/domain.cert
   
   # 生成证书的过程当中须要填写如下参数,在Conmmon那一栏填写你为dokcer仓库准备的域名
   Country Name (2 letter code) [AU]:CN
   State or Province Name (full name) [Some-State]:
   Locality Name (eg, city) []:
   Organization Name (eg, company) [Internet Widgits Pty Ltd]:
   Organizational Unit Name (eg, section) []:
   Common Name (e.g. server FQDN or YOUR name) []:10.34.31.13:5000
   Email Address []:

4. 建立docker仓库

   # 这里启动方式跟上面差异不大，多了挂载/certs文件夹和添加了两个certificate参数
   docker run -d \
     --restart=always \
     --name registry \
     -v /certs:/certs \
     -v /var/lib/registry:/var/lib/registry \
     -e REGISTRY_HTTP_ADDR=0.0.0.0:5000 \
     -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.cert \
     -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
     -p 5000:5000 \
     registry:2.6.2

5. 配置docker客户端

   # 之后须要使用这个仓库的机器，在客户端像这样配置一下就能够了
   mkdir /etc/docker/certs.d/10.34.31.13:5000
   cp /certs/domain.cert /etc/docker/certs.d/10.34.31.13:5000/ca.crt
   
   # 如今就能够测试一下了
   docker push 10.34.31.13:5000/hello-world:v1

使用kubernetes部署docker仓库

上面的容器是由doker直接启动的，因为我使用的是kubernetes集群，因此我但愿一切容器都能由kubernetes来管理。
因而我为kubernetes集群添加了一个node节点，来作k8s集群的镜像仓库。

1. 生成ssl证书
   参考上面，在准备的node节点上生成ssl证书。

2. 给node添加标签
   由于我只想在这台节点上运行registry容器，因此须要给这台节点添加标签，便于k8s部署能只选到这台节点。

   # n3是这个节点的hostname.若是没有添加k8s客户端权限，能够在master节点上执行。
   kubectl label node n3 bind-registry=ture

3. 建立registry目录，用于持久化images数据

   mkdir /var/lib/registry

4. 部署registry。dockerhub-dp.yaml我会在最后面贴出来。

   kubectl create -f dockerhub-dp.yaml

5. 配置docker客户端
   这个跟上面一个思路，端口稍有不一样。

   # 之后须要使用这个仓库的机器，在客户端像这样配置一下就能够了
   mkdir /etc/docker/certs.d/10.34.31.13:30003
   cp /certs/domain.cert /etc/docker/certs.d/10.34.31.13:5000/ca.crt

   为了访问方便，我将registry service的端口设置为了NodePort,但k8s限制这个端口只能设置为30000以上，全部我这里设置为了30003。

dockerhub-dp.yaml

apiVersion: apps/v1beta2
kind: Deployment
metadata:
  name: docker-local-hub
  namespace: kube-system
  labels:
    app: registry
spec:
  replicas: 1
  selector:
    matchLabels:
      app: registry
  template:
    metadata:
      labels:
        app: registry
    spec:
      containers:
      - name: registry
        image: registry:2.6.2
        ports:
        - containerPort: 5000
        env:
        - name: REGISTRY_HTTP_TLS_CERTIFICATE
          value: "/certs/domain.cert"
        - name: REGISTRY_HTTP_TLS_KEY
          value: "/certs/domain.key"
        volumeMounts:
        - mountPath: /var/lib/registry
          name: docker-hub
        - mountPath: /certs
          name: certs
      nodeSelector:
        bind-registry: "ture"
      volumes:
      - name: docker-hub
        hostPath:
          path: /var/lib/registry
          type: Directory
      - name: certs
        hostPath:
          path: /certs
          type: Directory
---
apiVersion: v1
kind: Service
metadata:
  name: docker-local-hub
  namespace: kube-system
  labels:
    app: registry
spec:
  selector:
    app: registry
  ports:
  - port: 5000
    targetPort: 5000
    nodePort: 30003
  type: NodePort