摘要:用戶訪問通過使用負載均衡服務(wù)的和端口�����。的負載均衡服務(wù),需要做源會話保持配置���。其次�����,自身沒有基于角色權(quán)限訪問控制�,所有可以訪問負載均衡服務(wù)的用戶都能隨意的推送和拉取鏡像。
在正文之前���,我們先來看一下���,如果沒有容器,通常會如何部署 Docker Registry��?關(guān)于這個問題�����,我簡單畫了一個草圖:
下面簡單解釋一下:
Nginx:用來做 Docker Registry 的代理和軟件負載均衡Keepalived 采用主備加虛擬 IP 的方式�����,解決 Nginx 的單點問題���,保證 Nginx 服務(wù)的高可用性���。
Docker Registry:這是 Docker 官方開源的私有鏡像倉庫項目���,對應(yīng) github 上的 docker-distribution 項目,也是私有鏡像倉庫的核心��。
Redis:大名鼎鼎的 Key-Value 數(shù)據(jù)庫��,很多應(yīng)用場景中���,將其作為緩存使用��。在 Docker Registry中也不例外��,用來緩存 Docker Image 的 laryer metadata����,帶來的好處即是 laryer metadata 的快速訪問���。
Storage Cluster Docker Registry:以存儲驅(qū)動的方式支持多種后端存儲��。例如:Docker Registry2.3 目前支持如下的存儲驅(qū)動:
這里簡單做個補充��,官方文檔也有介紹如何貢獻新的 Docker Registry 存儲驅(qū)動����。
下面我們來看一下����,在 Rancher 環(huán)境下,一個簡化版 Docker Registry 的部署結(jié)構(gòu)圖�����,如下圖所示:
這個圖是以 Rancher 下服務(wù)的視角畫的���,部署這樣一個簡單的 Docker Registry����,需要四個服務(wù)����,分別是外部存儲服務(wù)、Redis Cache 服務(wù)��、Docker Registry 服務(wù)和負載均衡服務(wù)���。用戶訪問 Docker Registry 通過使用負載均衡服務(wù)的IP和端口��。Docker Registry 的負載均衡服務(wù)�����,需要做源 IP會話保持配置�����。
到此為止���,我們就在 Rancher 環(huán)境下部署了一個簡化版的 Docker Registry 服務(wù)�����。至于我為什么說其是簡化版呢?是因為現(xiàn)在這個版本存在一些問題���。
首先,Docker Registry 本身沒有 Web UI��,鏡像的檢索��,只能通過命令行工具完成�����,使用起來非常不方便。
其次����,Docker Registry 自身沒有基于角色權(quán)限訪問控制����,所有可以訪問負載均衡服務(wù)的用戶都能隨意的推送和拉取鏡像。
最后����,Docker Registry 本身是提供了基于 token 的認證機制,需要接入 Authorization Service��,這個服務(wù)官方?jīng)]有實現(xiàn)���,需要我們自己實現(xiàn)或者借助開源實現(xiàn)��。
SUSE Portus 完美地解決了上述問題����。下面我們看一下�����,在 Rancher 環(huán)境下加入 SUSE Portus的服務(wù)結(jié)構(gòu)圖:
Portus Core Cluster 服務(wù)負責給 Docker Registry 提供 token 認證服務(wù)和接收 Docker Registry 發(fā)送的鏡像推送的通知,同步 Docker Registry 中的鏡像信息到 SUSE Portus 的數(shù)據(jù)庫中��。該服務(wù)本身無狀態(tài)���,可以水平擴展PortusCronSync負責定時請求DockerRegistryAPI 同步鏡像數(shù)據(jù)到SUSEPortus的數(shù)據(jù)庫中��。
當用戶向 Docker Registry 推送一個鏡像后����,Docker Registry 會發(fā)送通知給 SUSE Portus���,如果網(wǎng)絡(luò)閃斷�,或者 SUSE Portu 服務(wù)中斷����,會做有限次數(shù)的重試。這樣可能會導(dǎo)致 SUSE Portu 無法收到鏡像推送的通知�,造成兩端數(shù)據(jù)的不一致。Portus Cron Sync 就是為了解決這個問題而存在的����。
SUSE Portus 的 token 認證服務(wù)完全滿足官方的認證模型,Docker 官方的認證模型如下圖所示:
Docker Registry 關(guān)于認證服務(wù)的配置和通知目標服務(wù)的配置,都在 Docker Registry 容器的/etc/docker/registry/config.yml 中:
最后�,我們可以按照 Rancher Catalog 的規(guī)范,制作一些基礎(chǔ)鏡像�����,然后把這個服務(wù) Catalog化�,做成一鍵部署。
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/27959.html
