运行只能访问的注册表的localhost用处有限。为了使外部主机可以访问您的注册表,您必须首先使用 TLS 保护它。
获得证书
这些示例假设如下:
您的注册表 URL 是https://myregistry.domain.com/.
您的 DNS、路由和防火墙设置允许通过端口 443 访问注册表主机。
您已从证书颁发机构 (CA) 获得证书。
如果您已经获得了中间证书,请参阅 使用中间证书。
1.创建一个certs目录。
$ mkdir -p certs
将.crt和.key文件从 CA 复制到certs目录中。以下步骤假定文件被命名domain.crt为 domain.key.
2.如果注册表当前正在运行,请停止它。
$ docker container stop registry
3.重新启动注册表,指示它使用 TLS 证书。此命令将certs/目录绑定挂载到容器中/certs/,并设置环境变量,告诉容器在哪里可以找到domain.crt anddomain.key文件。注册表在默认 HTTPS 端口 443 上运行。
$ docker run -d \
--restart=always \
--name registry \
-v "$(pwd)"/certs:/certs \
-e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
-p 443:443 \
registry:2
4.Docker 客户端现在可以使用其外部地址从您的注册表中提取和推送。以下命令演示了这一点:
$ docker pull ubuntu:16.04
$ docker tag ubuntu:16.04 myregistry.domain.com/my-ubuntu
$ docker push myregistry.domain.com/my-ubuntu
$ docker pull myregistry.domain.com/my-ubuntu
