搭建 Docker 镜像仓库代理

一、场景说明

在部署K8S集群时，最大的一个难题就是镜像文章来源(Source)：https://www.dqzboy.com下载的问题，由于好多镜像是保存在k8s.gcr.io这个仓库的，因为国内的GFW拦截，这个网站在国内是完全无法访问的；有些镜像可以通过阿里云上用户同步的k8s.gcr.io上的镜像解决国内无法下载gcr镜像的问题，但是有些镜像还是在阿里云镜像仓库上搜索不到的，这个时候我们就需要自己动手解决了。

二、解决思路

• 购买一台国内的云服务器，搭建docker镜像仓库代理
• 官网文档：https://docs.docker.com/config/daemon/systemd/

三、操作步骤

• 一台国外服务器
• 一个域名和域名相关的SSL证书（docker pull 镜像时需要验证域名证书）

[root@dqzboy ~]# yum update

[root@dqzboy ~]# yum install -y yum-utils device-mapper-persistent-data lvm2
 
[root@dqzboy ~]# yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

#可以查看所有仓库中所有docker版本，并选择特定版本安装
[root@dqzboy ~]# yum list docker-ce --showduplicates | sort -r

[root@dqzboy ~]# yum install -y docker-ce

1. 设置 Docker 的日志格式为 json，日志文件大小为 100M，最多保存 3 个日志；
2. 设置 Docker 镜像私有仓库和官方镜像加速地址；
3. 设置 Docker 的数据目录到 /data/docker；
4. 设置 Docker 的 Storage Driver 为 overlay2。

[root@dqzboy ~]# mkdir /etc/docker
[root@dqzboy ~]# cat << EOF > /etc/docker/daemon.json
{
  "log-driver": "json-file",
    "log-opts": {
      "max-size": "100m",
      "max-file": "3"
    },
  "insecure-registry": [
    "hub.dqzboy.com"
  ],
  "registry-mirror": "https://a7ye1cuu.mirror.aliyuncs.com",
  "data-root": "/data/docker",
  "exec-opts": ["native.cgroupdriver=systemd"],
  "storage-driver": "overlay2",
  "storage-opts": [
    "overlay2.override_kernel_check=true"
  ]
}
EOF

[root@dqzboy ~]# systemctl enable docker && systemctl start docker

[root@dqzboy ~]# curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

[root@dqzboy ~]# chmod +x /usr/local/bin/docker-compose
[root@dqzboy ~]# ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
[root@dqzboy ~]# docker-compose --version

• 从 github 下载 registry-proxy 配置文件：

[root@dqzboy ~]# git clone https://github.com/findsec-cn/registry-proxy.git
[root@dqzboy ~]# cd registry-proxy

1. 将域名的证书放置到 cert 目录下，并把证书文件名称命名为该目录下的server名称；
2. 其中 server.crt 为 ssl 证书文件， server.key 为 ssl 私钥。
3. 注意：证书一定要是对应域名的，不然进行下载镜像会提示x509
4. 修改 nginx.conf 配置文件，将配置文件中的域名替换成自己的域名(dqzboy.com)

[root@dqzboy ~]# sed -i 's/xxx.com/dqzboy.com/g' nginx.conf

#确认更换后的域名
[root@dqzboy registry-proxy]# grep com nginx.conf 
    server_name  hub.dqzboy.com;
    server_name  gcr.dqzboy.com;
    server_name  k8s-gcr.dqzboy.com;

#启动镜像仓库代理：
[root@dqzboy registry-proxy]# docker-compose up -d

#查看启动日志：
[root@dqzboy registry-proxy]# docker-compose logs -f

• 将 hub.dqzboy.com、gcr.dqzboy.com、k8s-gcr.dqzboy.com解析到此服务器的地址上。
• 通过 http://hub.dqzboy.com 查看镜像仓库缓存的镜像；
• 通过gcr.dqzboy.com下载镜像。

比如我们要下载镜像：
[root@dqzboy ~]# docker pull k8s.gcr.io/pause:3.1

可以如下通过镜像仓库代理下载：
[root@dqzboy ~]# docker pull gcr.dqzboy.com/google-containers/pause:3.1

• 访问hub.dqzboy.com页面就可以看到上面我们下载的镜像已经被缓存了原文链接：https://www.dqzboy.com

• 在docker的daemon.json配置文件中添加上我们的代理服务的域名，然后重启原文链接：https://www.dqzboy.comdocker程序

{
    "registry-mirrors": [
        "https://gcr.dqzboy.com"
    ]
}

#重启docker
systemctl restart docker