如何在Linux中安装和使用Docker Registry Linux搭建私有镜像库的方法

2026-06-01电脑数码12038

最简单可靠的方式是直接运行官方 registry:2 镜像,无需编译或依赖,只需一条命令:docker run -d --restart=always --name registry -v /opt/registry/data:/var/lib/registry -p 5000:5000 registry:2,并配置 insecure-registries 才能推送拉取。

直接运行 registry:2 镜像就能用,别编译、别改源码

Linux 上搭 Docker 私有镜像仓库,最省事也最稳的方式就是直接跑官方 registry:2 镜像。它不依赖 Python(v1 版本已弃用),纯 Go 实现,启动快、占用低、兼容性好。只要 Docker 装好了,一条命令就能拉起服务,不需要额外装 Nginx、Python、OpenSSL 或写配置文件。

常见错误现象:docker run registry 后容器秒退,或者 curl http://localhost:5000/v2/ 返回 404 或连接被拒绝——多半是没加 -d 和端口映射,或宿主机 5000 端口被占用。

  • 确保宿主机 5000 端口空闲:sudo ss -tuln | grep :5000
  • 挂载目录要提前创建并赋权:sudo mkdir -p /data/registry && sudo chown -R $USER:$USER /data/registry
  • 必须加 -p 5000:5000,否则容器监听了但外部访问不到
  • registry:2 是当前稳定版,不要用 registry:latest(可能指向未充分验证的预发布版)

推送前必须配 insecure-registries,否则 push 一定失败

Docker 默认只信任 HTTPS 协议的 registry,而原生 registry:2 默认只提供 HTTP 服务。不配这个,docker push 192.168.1.100:5000/nginx:alpine 会卡在 Get "https://192.168.1.100:5000/v2/": http: server gave HTTP response to HTTPS client —— 这是设计行为,不是 bug。

正确做法是修改 Docker 守护进程配置:

  • 编辑 /etc/docker/daemon.json,加入 insecure 地址(注意是数组):
    { "insecure-registries": ["192.168.1.100:5000"] }
  • 保存后执行:sudo systemctl daemon-reload && sudo systemctl restart docker
  • 如果多台机器都要推/拉,每台都得配;IP 写具体地址,别用 0.0.0.0/0 或通配符(不安全)
  • 配置生效后,docker info | grep -A 5 "Insecure Registries" 应能看见你加的地址

docker tag 格式错一个字符,push 就找不到目标仓库

本地镜像不能直接推,必须先重打标签,且格式严格:「仓库地址:端口/命名空间/镜像名:标签」。命名空间不是必须,但建议加上(如 myapp/nginx),避免和别人冲突。

Docker Sandbox

创建并管理 Docker 沙箱虚拟机环境以安全执行代理。适用于运行不受信任代码、探索包或隔离代理工作负载。支持 Claude、Codex、Copilot、Gemini 和 Kiro 代理,并提供网络代理控制。

下载

典型错误:

  • 漏掉端口:192.168.1.100/myapp/nginx → 应该是 192.168.1.100:5000/myapp/nginx
  • 多写了协议:http://192.168.1.100:5000/myapp/nginx → Docker 不认 http:// 前缀
  • 用了下划线或大写字母当命名空间:my_app/nginxMyApp/nginx → registry v2 不支持,会报 invalid repository name
  • 本地镜像不存在却去 tag:docker tag nonexistent:latest 192.168.1.100:5000/test → 不报错但后续 push 会提示 unauthorized: authentication required(实际是镜像 ID 找不到)

验证是否 tag 成功:docker images | grep 5000,应看到带 IP+端口的镜像行。

验证服务和查看镜像列表,用 curl 比浏览器更准

浏览器访问 http://192.168.1.100:5000/v2/ 返回 {} 表示 registry 服务本身正常;但想确认有没有镜像、能不能列出来,得用 catalog 接口,而且要注意权限和路径。

  • 查所有仓库:curl -X GET http://192.168.1.100:5000/v2/_catalog?n=100n 控制返回数量,默认只返回 10 个)
  • 查某个仓库下的所有 tag:curl -X GET http://192.168.1.100:5000/v2/myapp/nginx/tags/list
  • 如果返回 {"errors":[{"code":"UNAUTHORIZED","message":"authentication required","detail":[{"Type":"registry","Class":"","Name":"catalog","Action":"*"}]}]},说明 registry 启动时没开 catalog API(默认是开的),检查是否误加了 REGISTRY_STORAGE_DELETE_ENABLED=true 等环境变量干扰了基础功能
  • 容器日志是第一排查依据:docker logs registry,重点看有没有 listening on [::]:5000debug 级别的错误

真正容易被忽略的是:registry 容器内数据目录权限。哪怕挂载了 /data/registry,如果宿主机上该目录属主是 root,而 registry 进程以非 root 用户(如 101)运行,就会静默失败——此时 curl 能通,但 push 无响应、log 里也没明显报错,只能靠 docker exec -it registry ls -l /var/lib/registry 查权限。

《如何在Linux中安装和使用Docker Registry Linux搭建私有镜像库的方法.doc》

下载本文的Word格式文档,以方便收藏与打印。