Docker官方提供了公有的registry：Docker Hub，企业内部可自建私有仓库。常见的可以有2种方式：docker-registry或基于gitlab

【registry方式】

1. openssl生成证书

openssl req -newkey rsa:4096 -nodes -sha256 -keyout registry-test.key -x509 -days 365 -out registry-test.crt

输入相应的国家/省/市/公司等，例如：

Issuer: C=cn, ST=gd, L=gz, O=xj, OU=xj, CN=xj.com emailAddress=123@xj.com

注意 CN 设置为相应域名，如： xj.com

2. 本机docker认证

在 /etc/docker/certs.d 下创建目录：xj.com:1234，然后把.crt文件（仅该文件即可，key可以不用）COPY到目录下

3. 重启DOCKER Daemon

systemctl restart docker

4. 创建加密文件

htpasswd -bc htpasswd user 123456  ----目前使用不起作用，后续再跟进

htpasswd -cB htpasswd user1  ----创建htpasswd文件，测试OK

htpasswd -B htpasswd user2  ---在htpasswd文件中追加用户，测试OK

5. 部署registry

1） docker pull registry:2

2） 通过docker run或docker-compose启动，其中可设置认证方式/加密文件路径/证书key/证书等

docker run启动：

docker run  -d  -p 1234:5000  --restart=always  --name myregistry \

  -v /home/apps/aa/common/conf/registry/auth:/auth \

  -e  "REGISTRY_AUTH=htpasswd" \

  -e  "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \

  -e  REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \

  -v /home/apps/aa/common/conf/registry/certs:/certs \

  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/aa.crt \

  -e REGISTRY_HTTP_TLS_KEY=/certs/aa.key \

  registry:2

6. 部署WebUI

两个 web ui，一个是 docker-registry-frontend，另一个是 hyper/docker-registry-web。

这两个 ui 功能差不多，只需任选其一就可以了。截止目前，docker-registry-frontend 的功能还不完善，没有删除镜像的功能，只能浏览。后一个同时具备 删除和浏览 的功能。

1）docker-registry-frontend方式

参考registry-frontend.yml ，启动后，必须使用https://xj.com:8443 进行访问，目前只能查看，不能修改，删除。

官网：https://github.com/kwk/docker-registry-frontend

2）docker-registry-web方式

docker run -d -p 8080:8080 --name registry-web \

          -e REGISTRY_AUTH_ENABLED=false \

          -e REGISTRY_READONLY=false \

          -e REGISTRY_URL=https://xj.com:1234/v2 \

          -e REGISTRY_TRUST_ANY_SSL=true \

          -e REGISTRY_NAME=xj.com:1234 hyper/docker-registry-web

3. docker使用registry认证

1） 上述registry设置了登陆认证：用户名/密码+证书。那么访问的各机器的 /etc/docker/certs.d 目录下需有对应registry的证书+使用密码登陆，客户端机器不需要重启docker。

2） docker login -u username -p password xj.com:1234 //上面已设置证书，用户名/密码是上面生成的 user1/123456

3） docker push xj.com:134/aa-html/aa-projectname  //用户username需有该registry所关联项目aa-html/aa-projectname的push权限，例如hello用户没有该项目的权限那么无法push。

注意：

1. 若证书过期，直接上上面步骤替换证书，并重启registry即可。

2. 主机上的CA.crt证书和私有仓库上的CA.crt证书不匹配

Error response from daemon: Get https://xj.com:1234/v1/users/: x509: certificate signed by unknown authority

3. docker push时，image名称必须以xj.com:1234开头，否则会报错：denied: requested access to the resource is denied。 如：

docker tag consul xj.com:1234/consul:1.0.0

docker login -u user -p 123456 xj.com:1234

docker push xj.com:1234/consul:1.0.0

【gitlab方式】

1. openssl生成证书

同上

2. 本机docker认证

同上

3. 重启DOCKER Daemon

同上

4. gitlab（安装在/var/opt目录下）本身自带了 registry 的插件，在安装后，会自动有对应的配置，内部通过nginx启动，相应目录：/var/opt/gitlab/nginx和/var/opt/gitlab/registry。/nginx/conf下有对应的配置文件 gitlab-registry.conf，里面有监听端口/ssl的配置等，可参考 gitlab-registry.conf

5. 替换.conf中ssl配置的路径中的证书，并赋权限600，如 /etc/gitlab/ssl 下

6. 重启nginx-registry

7. 设置某个项目使用registry

8. web页面中删除tag，也仅仅是删除索引，未真正删除数据