最简单可靠的方式是直接运行官方 registry:2 镜像,无需编译或依赖,只需一条命令:docker run -d --restart=always --name registry -v /opt/registry/data:/var/lib/registry -p 5000:5000 registry:2,并配置 insecure-registries 才能推送拉取。
直接运行 registry:2 镜像就能用,别编译、别改源码
Linux 上搭 Docker 私有镜像仓库,最省事也最稳的方式就是直接跑官方 registry:2 镜像。它不依赖 Python(v1 版本已弃用),纯 Go 实现,启动快、占用低、兼容性好。只要 Docker 装好了,一条命令就能拉起服务,不需要额外装 Nginx、Python、OpenSSL 或写配置文件。
常见错误现象:docker run registry 后容器秒退,或者 curl http://localhost:5000/v2/ 返回 404 或连接被拒绝——多半是没加 -d 和端口映射,或宿主机 5000 端口被占用。
- 确保宿主机 5000 端口空闲:
sudo ss -tuln | grep :5000 - 挂载目录要提前创建并赋权:
sudo mkdir -p /data/registry && sudo chown -R $USER:$USER /data/registry - 必须加
-p 5000:5000,否则容器监听了但外部访问不到 -
registry:2是当前稳定版,不要用registry:latest(可能指向未充分验证的预发布版)
推送前必须配 insecure-registries,否则 push 一定失败
Docker 默认只信任 HTTPS 协议的 registry,而原生 registry:2 默认只提供 HTTP 服务。不配这个,docker push 192.168.1.100:5000/nginx:alpine 会卡在 Get "https://192.168.1.100:5000/v2/": http: server gave HTTP response to HTTPS client —— 这是设计行为,不是 bug。
正确做法是修改 Docker 守护进程配置:
- 编辑
/etc/docker/daemon.json,加入 insecure 地址(注意是数组):{ "insecure-registries": ["192.168.1.100:5000"] } - 保存后执行:
sudo systemctl daemon-reload && sudo systemctl restart docker - 如果多台机器都要推/拉,每台都得配;IP 写具体地址,别用
0.0.0.0/0或通配符(不安全) - 配置生效后,
docker info | grep -A 5 "Insecure Registries"应能看见你加的地址
docker tag 格式错一个字符,push 就找不到目标仓库
本地镜像不能直接推,必须先重打标签,且格式严格:「仓库地址:端口/命名空间/镜像名:标签」。命名空间不是必须,但建议加上(如 myapp/nginx),避免和别人冲突。
Docker Sandbox
创建并管理 Docker 沙箱虚拟机环境以安全执行代理。适用于运行不受信任代码、探索包或隔离代理工作负载。支持 Claude、Codex、Copilot、Gemini 和 Kiro 代理,并提供网络代理控制。
下载
典型错误:
- 漏掉端口:
192.168.1.100/myapp/nginx→ 应该是192.168.1.100:5000/myapp/nginx - 多写了协议:
http://192.168.1.100:5000/myapp/nginx→ Docker 不认http://前缀 - 用了下划线或大写字母当命名空间:
my_app/nginx或MyApp/nginx→ registry v2 不支持,会报invalid repository name - 本地镜像不存在却去 tag:
docker tag nonexistent:latest 192.168.1.100:5000/test→ 不报错但后续push会提示unauthorized: authentication required(实际是镜像 ID 找不到)
验证是否 tag 成功:docker images | grep 5000,应看到带 IP+端口的镜像行。
验证服务和查看镜像列表,用 curl 比浏览器更准
浏览器访问 http://192.168.1.100:5000/v2/ 返回 {} 表示 registry 服务本身正常;但想确认有没有镜像、能不能列出来,得用 catalog 接口,而且要注意权限和路径。
- 查所有仓库:
curl -X GET http://192.168.1.100:5000/v2/_catalog?n=100(n控制返回数量,默认只返回 10 个) - 查某个仓库下的所有 tag:
curl -X GET http://192.168.1.100:5000/v2/myapp/nginx/tags/list - 如果返回
{"errors":[{"code":"UNAUTHORIZED","message":"authentication required","detail":[{"Type":"registry","Class":"","Name":"catalog","Action":"*"}]}]},说明 registry 启动时没开 catalog API(默认是开的),检查是否误加了REGISTRY_STORAGE_DELETE_ENABLED=true等环境变量干扰了基础功能 - 容器日志是第一排查依据:
docker logs registry,重点看有没有listening on [::]:5000和debug级别的错误
真正容易被忽略的是:registry 容器内数据目录权限。哪怕挂载了 /data/registry,如果宿主机上该目录属主是 root,而 registry 进程以非 root 用户(如 101)运行,就会静默失败——此时 curl 能通,但 push 无响应、log 里也没明显报错,只能靠 docker exec -it registry ls -l /var/lib/registry 查权限。
