一、 官方镜像仓库介绍

镜像仓库分类
公有仓库
私有仓库
官方镜像仓库属于公有仓库
网址: hub.docker.com        网站名称:dockerhub

注册邮箱

创建仓库
创建自己的仓库

登录仓库
 web界面登录
linux命令行登录

 直接docker login 输入用户名和密码

这个自己创建的存储库一般只有pull时才会登录

1.1 公有仓库容器镜像上传和下载

push上传

 把本地的centos容器镜像打一个tag标签到自己的dockerhub存储库

然后会产生一个一模一样的镜像

登录dockerhub,然后docker push 上传到自己的存储库   v1是自定义的tag

 nginx应用镜像的 上传

最好在自己dockerhub里面重新创建一个repository

上传之前必须先给要上传的镜像打tag标签并指定自己的仓库位置

docker tag centos-nginx:tag 用户名/仓库：tag

 pull下载

下载之前必须先退出登录dockerhub  (hub.docker.com)

docker pull 用户名称/仓库：tag

 二、镜像加速器

镜像加速器主要目的在于加快用户下载容器镜像速度
因为dockerhub存储库在国外，下载很慢

2.1 docker 中国镜像加速器

官网：

1.Docker中国区官方镜像
https://registry.docker-cn.com
2.网易
http://hub-mirror.c.163.com
3.中国科技大学
https://docker.mirrors.ustc.edu.cn

永久配置方法

第一步 修改/usr/lib/systemd/system/docker.service

第二步 编辑/etc/docker/daemon.json

{

        "registry-mirrors": ["https://registry.docker-cn.com"]

        可以加其他镜像源也行

}

第三步 重启docker daemon
  systemctl daemon-reload        systemctl restart docker

pull下载镜像会快一点

 2.2 阿里云镜像加速器

 点击工作台之后直接搜索容器镜像服务，选择镜像工具里面的镜像加速器

直接复制粘贴到daemon.json使用就行  多个镜像源可以用逗号隔开

 最后restart docker 就行

三、docker本地容器镜像仓库

作用
在局域网内使用，避免无法连接外网
方便与其它系统进行集成，例如自动安装，自动上传

上传下载大镜像时

3.1 使用registry容器镜像实现本地非安全镜像仓库
 

第一步：下载registry注册表  容器镜像

第二步：创建目录用于挂载registry镜像启动的容器，便于容器镜像数据持久化

mkdir /opt/dockerregistry  用于挂载registry镜像启动的容器

第三步：启动容器获取镜像仓库

 -d 后台启动  --restart 容器重启策略，docker主机关机之后开机就会自动重启容器 always 是重启策略的值  -v 添加volume卷也就是把目录当成挂载卷了 ：后面就是挂载的容器镜像位置

第四步：验证是否可用

在daemon.json里面加上"insecure-registries":  ["http://192.168.122.33:5000"],

逗号是隔开键值对

私有仓库添加完成之后restart docker

 之前是上传镜像需要给自己的公有仓库打tag标签，私有仓库也需要打tag标签才能上传

 之前挂载目录是没有文件的，因为打了tag标记之后上传了centos镜像才有数据

 另外一台主机可以ping -c 次数  docker服务器ip

在其他主机中下载使用私有仓库中的镜像很快

 下载容器镜像一秒钟就好

3.2  使用Harbor实现本地通过web进行管理的非安全仓库
 

vmware公司开源   良好的中文界面   web管理界面  使用广泛

3.2.1 工具准备

使用docker-compose工具进行启动

准备安装docker-compose有工具-pip
pip类似于yum，用于批量安装python模块及解决python模块依赖

pip工具准备
 

先安装epel源

yum -y install epel-release

yum -y install python2-pip

pip list 和yum list 一样可查看软件的version 

最后的说明是pip最新版是19.1可以考虑upgrade升级

docker-compose工具准备

requests模板可以ignore忽略安装

如果是centos7可以不用忽略直接pip install docker-compose

 gihub上的操作文档readme.md    +号代表版本必须大于

 点击release 可以查看版本主线  推荐使用offline离线下载

 

下载之后的压缩包可以上传到docker服务器并解压

tar xf harbor.....

然后在cd到harbor目录，vim harbor.cfg

配置只需要修改一下hostname=docker主机ip

默认harbor密码是Harbor12345

 启动harbor

运行prepare脚本

 ./install.sh 运行安装脚本

如果想停止harbor可以

docker-compose stop

开启harbor可以使用

docker-compose up -d

都是通过docker-compose.yml文件启动harbor的

web访问harbor直接访问docker主机ip之后输入默认密码就行

3.2.2 上传镜像到harbor镜像私有仓库

第一步：在daemon.json中添加此仓库地址

之后restart docker 

会发现health状态都是starting正在启动，需要等一会儿 

第二步：给需要上传的镜像打标记

 根据harbor镜像仓库的提示打标记

 打tag标记  资源镜像   标记用户/library/镜像名称

第三步:上传镜像到harbor镜像私有仓库
上传和dockerhub仓库一样，需要先登录才能上传

 在其他主机访问私有harbor镜像

访问镜像都必须修改daemon.json文件指定不安全的注册表和容器镜像源的ip

 pull容器镜像到本地

 速度比加速器快很多

 

四、docker网络

4.1 本地网络

本地网络类型
bridge                NAT模式，可使容器连接外网
host                  与主机共享网络，可使容器连接外网

none                容器仅有lo网卡，无法连接外网
联盟网络          容器间共享同一个网络命名空间，实现容器间数据传输（例如数据库服务器和nginx服务器间的数据通信传输）

bridge  桥接

 

 docker 查看网络 ls

 使用--network选项选择容器网络

 

 每一台docker host上的docker0所在网段完全一样。

host

所有的容器与docker host在同一网络中，可以让容器访问，甚至可以让外网主机访问容器中的服务

 任何主机都可以随时访问docker  host的ip 就能访问容器的运行的服务

4.2 跨主机容器间网络

容器的主机相当于局域网，所以不能跨主机去访问容器

 其实就和vpn一样，用户要访问局域网，可以通过在客户端安装vpn之后覆盖网络直接连接局域网的vpn实现访问

 etcd其实就路由表数据库

 Flannel工作原理

是Overlay网络，即覆盖型网络
通过etcd保存子网信息及网络分配信息

给每台Docker Host分配置一个网段通过UDP传输数据包

部署flannel

环境说明
node1
安装软件etcd flannel docker

node2
安装软件flannel docker

主机配置

1、设置主机名

systemctl set-hostname node1

2、配置/etc/hosts

 

3、安全配置

 

4、安装软件

node1
安装软件etcd flannel docker

node2
安装软件flannel docker

5、配置etcd数据库

主要就是添加2379和4001监听客户端地址和通知客户端地址

 设置开机自启enable并启动etcd数据库

查看端口号和etcd进程

测试etcd是否可以存取数据及cluster的healthy 

配置flanner

vim /etc/sysconfig/flanneld

etcd:2379

atomic.io/network

 

在etcd数据库添加一个网段

 etcdctl mk 配置的ip可以随意

 启动flannel服务

 ip a s 查看ip会发现多了一个flannel0

 配置flannel和docker

 第一步：查看subnet子网信息

 MTU不能超过1500,flannel是覆盖型网络

第二步：配置docker daemon

修改docker的/etc/docker/daemon.json

 重启docker之后会发现flannel0和docker0在同一网段

 启动容器验证网络

 

 node2   的docker host也是 这样配置的

flannel自动覆盖之前的docker0 并给多台docker 主机中的容器分配ip

 

测试分别在node1、node2创建容器，观察容器IP地址情况
 

可以ping 容器的ip a s

注意：flannel0的ip、docker0的ip 、容器的ip都是独立的

唯一的关系是flannel0的ip和docker0的ip是同一网段

正常情况是node1和node2的容器ip和docker0网桥ip都可以 ping 通

node1  中的容器 ip 172.20.22.2     docker0网桥ip 172.20.22.1

node2  中的容器 ip 172.20.13.2     docker0网桥ip 172.20.13.1

docker exec 容器id ping -c 3 node2    node1ping不通node2的容器ip

docker exec 容器id  ping -c 3 node1  node1ping通自己的docker0网桥

node1 ping node2的13.1网桥也能通

可以docker ps 查看容器id 之后再ping

 如果发现容器之间无法ping通就修改iptables策略

虽然firewalld防火墙关闭了，但是iptables还在

iptables策略配置

• 转发策略开启：iptables -P FORWARD ACCEPT
• 查看nat路由配置：iptables -t nat -L
• iptables -F 指令是用来清除所有规则的，线上环境慎用！！！。使用的时候需要注意一下，如果策略模式不是 ACCEPT 的话，盲目使用可能会导致网络立马中断或者其他不可预估的错误。

 每台主机都必须配置  开启转发策略 把nat路由配置规则DROP修改成ACCEPT