在局域網內部署 Docker Registry 可以極大的提升平時 pull、push 鏡像的速度，從而縮短自動化操作的過程。同時也可以緩解帶寬不足的問題，真是一舉多得。本文將從創建單機的 Docker Registry 開始，逐步完成局域網內可用的 Docker Registry 的創建，并重點解釋如何使用 IP 地址訪問 Registry 的方法。

注意，本文假設你已經在使用的 OS 中安裝了 docker 引擎。

創建本機使用的 Docker Registry

這是一個非常簡單的過程，簡單到只需要運行一個 docker 容器就可以了：

$ docker run -d -p 5000:5000 --restart=always --name registry /-v `pwd`/registry:/var/lib/registry /registry:2

查看一下 5000 端口是否已被監聽：

看起來還不錯，讓我們向本地的 Registry 中推送一個鏡像試試。

先找個鏡像，打上自己的 tag：

$ docker pull ubuntu$ docker tag ubuntu localhost:5000/myubuntu:20170520

從上圖我們可以看到，兩個鏡像完全是一樣的，只不過我們創建的 tag 名稱不一樣而已。

接下來把鏡像 push 到本地的 Registry 中：

$ docker push localhost:5000/myubuntu:20170520

上圖顯示 push 操作成功了，那再看看文件系統發生了什么變化：

在我們掛載的 ~/registry 目錄的子目錄中出現了保存鏡像 myubuntu 的目錄，在這個目錄下保存了鏡像相關的數據。

最后我們看看能不能從自己的庫中 pull 鏡像。先把本地的鏡像 localhost:5000/myubuntu:20170520 刪除掉：

$ docker rmi localhost:5000/myubuntu:20170520

然后從本地的庫中 pull 鏡像：

$ docker pull localhost:5000/myubuntu:20170520

是不是 pull 操作已經成功啦！

創建局域網內可用的 Docker Registry

前面創建的 Registry 可以在局域網內使用嗎？我們來做個試驗。

運行 Registry 的機器 IP 為：192.168.171.156，我們在局域網中的另一臺機器上創建 tag 并執行推送命令：

推送失敗了！原因是為了保證安全，跨機的鏡像推送操作默認采用的都是 https 協議。也就是說，為了在局域網內使用 Docker Registry， 我們必須配置 https 版的 Registry 服務器。

選擇通過 IP 地址訪問 registry

由于種種原因，筆者無法為這臺 Docker Registry Server 提供一個有效的域名。好在它的 IP 地址是固定的，因此決定通過 IP 地址來訪問這臺 Registry 服務器。假設這臺機器的 IP 地址為：10.32.2.140，下面的描述都以此 IP 地址為例。

創建自簽名的證書

既然是在局域網中使用，因此不會大動干戈的去購買 https 證書，自己生成一個自簽名的就足夠了。但這也存在一個缺點，就是需要在作為客戶端的 docker daemon 中安裝這個根證書，本文的稍后部分會介紹這一步驟。

在 ubuntu 系統中，下面的命令會在 dcerts 目錄下生成秘鑰和自簽名的證書：

openssl req /  -newkey rsa:4096 -nodes -sha256 /  -keyout dcerts/domain.key /  -x509 -days 356 /  -out dcerts/domain.crt