一、Docker Hub 高级功能实战

1.自动构建（Automated Builds）

• 场景：代码仓库（如 GitHub/GitLab）更新时自动生成镜像，无缝集成 CI/CD。
• 操作步骤：

i.绑定代码仓库：

登录 Docker Hub，进入 Repositories > Automated Builds。

授权 Docker Hub 访问代码仓库（如 GitHub）。

ii.配置构建规则：

选择代码仓库和分支，指定 Dockerfile 路径（默认根目录）。

示例：当 GitHub 仓库 main 分支更新时，自动构建
your-username/webapp:latest。

iii.触发构建：

推送代码至指定分支，Docker Hub 自动拉取代码并执行 docker build。

2.组织（Organizations）与团队协作

• 创建组织：

# 网页端操作：
Docker Hub > Organizations > Create Organization

• 权限管理：

管理员：创建仓库、添加成员、分配角色（管理员/开发者）。

开发者：推送/拉取镜像、管理仓库标签。

• 团队仓库示例：

# 团队成员拉取组织仓库镜像 
docker pull my-company/webapp:v1

3. 镜像版本管理

• 标签策略：

latest：最新稳定版（生产环境）。

dev/test：开发/测试版本（如
your-username/webapp:dev-202310）。

语义化版本（SemVer）：major.minor.patch（如 1.2.3）。

• 删除旧版本：

# 网页端：Docker Hub > 仓库 > Tags > 删除指定标签 
# 命令行（需先登录）： 
docker rmi your-username/webapp:old-tag docker push your-username/webapp:new-tag

二、搭建私有 Docker 仓库

1. 基于 docker-registry 的轻量级私有仓库

• 步骤 1：运行私有仓库容器

docker run -d \
  -p 5000:5000 \
  --name my-registry \ 
    -v /data/registry:/var/lib/registry \ # 持久化存储镜像 
    registry:2

• 验证仓库：

# 拉取测试镜像并推送至私有仓库 
docker pull alpine:latest 
docker tag alpine:latest localhost:5000/my-alpine:v1 
docker push localhost:5000/my-alpine:v1

2. 添加认证机制（用户名/密码）

• 步骤 1：生成认证文件

# 安装 htpasswd（需先安装 apache2-utils） 
apt-get install apache2-utils -y 
# 创建用户（如 user:pass） 
htpasswd -B -c /auth/htpasswd user

• 步骤 2：运行带认证的仓库

docker run -d \
 -p 5000:5000 \ 
--name my-registry \ 
-v /data/registry:/var/lib/registry \
 -v /auth/htpasswd:/auth/htpasswd \ # 挂载认证文件 
-e "REGISTRY_AUTH=htpasswd" \ 
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \ 
registry:2

• 登录私有仓库：

docker login localhost:5000 -u user -p pass

3. 配置 HTTPS（生产环境必备）

• 步骤 1：准备 SSL 证书

自签名证书（测试用）：

openssl req -newkey rsa:4096 -nodes -keyout domain.key -x509 -days 365 -out domain.crt

权威证书（如 Let's Encrypt）：通过证书颁发机构获取。

• 步骤 2：运行仓库容器（绑定证书）

docker run -d \
 -p 443:443 \
 --name my-registry \
 -v /data/registry:/var/lib/registry \
 -v /certs/domain.crt:/certs/domain.crt \
 -v /certs/domain.key:/certs/domain.key \
 -e "REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt" \ 
-e "REGISTRY_HTTP_TLS_KEY=/certs/domain.key" \ 
registry:2

• 客户端信任证书（Linux）：

cp domain.crt /etc/docker/certs.d/your-registry-domain.com/ca.crt 
systemctl restart docker

三、企业级仓库管理方案

1. 镜像分层存储与垃圾回收

• 清理未使用的镜像层：

docker exec my-registry registry garbage-collect /etc/docker/registry/config.yml

• 配置存储驱动：
  在 config.yml 中指定存储后端（如 S3、OSS）：

storage: 
    s3: 
        accesskey: YOUR_ACCESS_KEY 
        secretkey: YOUR_SECRET_KEY 
        bucket: my-docker-registry 
        region: us-east-1

2. 镜像扫描与安全审计

• 集成 Clair（开源漏洞扫描）：

# 运行 Clair 容器 
docker run -d --name clair -p 6060:6060 clair:v4 
# 扫描镜像（需先推送至仓库） 
clairctl analyze your-username/webapp:latest

• Docker Hub 内置扫描：
  在 Docker Hub 仓库设置中启用 Vulnerability Scanning，自动检测镜像漏洞。

3. 跨数据中心同步（镜像复制）

• 使用 docker trust 实现镜像签名：

docker trust sign your-username/webapp:v1

• 跨仓库复制（如从 Hub 同步至私有仓库）：

docker run --rm \
 -v /var/run/docker.sock:/var/run/docker.sock \
 docker.io/justincormack/registry-mirror \
 --source=docker.io \
 --source-repo=library/nginx \
 --dest=your-private-registry.com/library/nginx

四、公共仓库 vs 私有仓库：选型指南

五、常用命令速查表

通过以上实践，可实现从镜像构建、存储到分发的全流程管理，满足开发测试、持续集成及生产环境的不同需求。企业级场景下建议选择 Harbor 等增强型私有仓库，结合 CI/CD 流水线实现镜像的自动化管理与安全审计。