Docker 私有镜像仓库

1. 为什么使用私有仓库

• 保护企业镜像和私有代码。
• 加速内网拉取镜像。
• 管理镜像访问权限和审计记录。

2. 常见私有仓库方案

• Docker Registry
• Harbor
• GitHub Container Registry
• GitLab Container Registry

3. 搭建 Docker Registry

docker run -d -p 5000:5000 --name registry registry:2

• 默认没有认证和 TLS，仅适合内网测试。
• 生产环境应配置 TLS 和身份认证。

4. 推送和拉取镜像

docker tag myapp:1.0.0 localhost:5000/myapp:1.0.0
docker push localhost:5000/myapp:1.0.0
docker pull localhost:5000/myapp:1.0.0

• 推送前需要正确打标签。
• 若启用 TLS，自签名证书需在客户端信任。

5. 认证与访问控制

• 可以通过 nginx/nginx-proxy 或 Harbor 提供基本认证。
• Docker Registry 原生支持 token 认证。
• Harbor 支持项目、用户和访问策略。

6. 存储与清理

• Registry 存储可以使用本地卷或对象存储。
• 定期清理未使用镜像，释放空间。

docker exec registry bin/registry garbage-collect /etc/docker/registry/config.yml

7. 安全建议

• 使用 HTTPS 保护传输。
• 限制只允许可信网络访问仓库。
• 开启镜像扫描以发现漏洞。

8. 迁移与镜像镜像

• 可以使用 docker pull / docker push 结合脚本迁移镜像。
• 对接企业缓存代理或镜像加速器，提高下载速度。