🐳🔒 Как создать свой реестр для хостинга Docker-контейнеров

Хочешь полностью контролировать свои Docker-образы? Мы расскажем, как создать и настроить личный реестр контейнеров, идеально подходящий для твоих задач.

Создание собственного реестра контейнеров – оптимальное решение, если:

• Вы не хотите зависеть от внешних поставщиков услуг.
• Вам необходимо соблюдать особые требования безопасности или конфиденциальности данных.

Автор этой публикации разобрал по шагам процесс реализации такого реестра.

Что такое образ контейнера

Образ контейнера – это пакет, включающий в себя все необходимые файлы, библиотеки и конфигурации для запуска контейнера. Он состоит из слоев, каждый из которых представляет собой изменения в файловой системе (добавление, удаление или модификацию файлов). Самый распространенный способ создания образа – это использование Dockerfile:

Что такое реестр контейнеров

Реестр контейнеров – это хранилище, которое позволяет загружать и скачивать образы контейнеров. Реестры бывают публичными (например, Docker Hub) и приватными. Приватные реестры обеспечивают повышенную безопасность и контроль над доступом к образам. URL образа выглядит примерно так:

Почему стоит создать собственный реестр

Самостоятельный хостинг реестра позволяет полностью контролировать инфраструктуру и избегать зависимости от сторонних поставщиков. Это особенно важно, если вы работаете в условиях строгого регулирования или хотите повысить безопасность.

Как развернуть собственный реестр

Существует несколько опенсорсных решений для создания реестров контейнеров. Наиболее популярным, однако, является официально поддерживаемый Docker registry. Этот реестр предназначен для хранения и распространения образов контейнеров и артефактов, и запускается он прямо в контейнере.

Основные шаги для создания реестра:

• Установка Docker и Docker Compose на сервере.
• Настройка конфигурации и запуск контейнера registry.
• Запуск nginx для обработки и перенаправления запросов к контейнеру реестра.
• Настройка SSL-сертификатов и подключение домена.

Установка Docker и Docker Compose

Для начала вам понадобится сервер с установленным Docker. Например, это может быть виртуальная машина с Ubuntu на любой подходящей платформе. Установите Docker и Docker Compose (он упрощает управление приложениями со множеством контейнеров):

Конфигурация реестра

Для настройки контейнера реестра нужно создать файл compose.yaml со следующей конфигурацией:

Будут созданы два тома – один для хранения образов, второй для хранения файла с паролями. Для аутентификации пользователей необходимо создать файл с паролями с помощью команды htpasswd. Например, добавим пользователя busy с паролем bee:

Теперь можно запустить реестр командой docker-compose up – если все настроено правильно, вы увидите сообщение о том, что реестр слушает порт 5000:

Настройка nginx для обработки TLS

Для безопасности реестр должен использовать защищенное SSL-соединение. Для проксирования запросов и обработки TLS можно использовать nginx, а для получения SSL-сертификата – Let’s Encrypt. Сертификат сохраняется в директории ./nginx/certs. В файле compose.yaml добавим секцию для nginx:

Пример файла конфигурации nginx (nginx.conf):

Проверка и запуск

После настройки запустите контейнеры с реестром и nginx:

docker-compose up

На стороне клиента необходимо войти в реестр:

Теперь можно создавать и загружать образы в наш реестр:

В заключение

Для запуска реестра при желании можно использовать Kubernetes. Если требуется пользовательский интерфейс, пригодится joxit/docker-registry-ui. Полный код проекта есть в репозитории автора, а на YouTube можно посмотреть ролик о создании реестра.

А вы уже использовали собственный Docker-реестр в своих проектах? Поделитесь своим опытом и расскажите, с какими трудностями вы столкнулись при его настройке.