内网环境必备：手把手教你在银河麒麟V10上配置Docker私有镜像仓库（从离线安装到镜像推送）

内网环境必备：手把手教你在银河麒麟V10上配置Docker私有镜像仓库（从离线安装到镜像推送）

在数字化转型浪潮中，容器化技术已成为企业IT架构升级的核心驱动力。但对于金融、军工、政务等敏感行业而言，如何在严格的内网隔离环境中构建完整的容器化工作流，始终是技术团队面临的现实挑战。本文将基于银河麒麟V10操作系统，为需要在内网环境部署容器化解决方案的团队，提供从Docker离线安装到私有镜像仓库配置的完整闭环指南。

不同于简单的安装教程，我们更关注实际工程落地中的关键细节：如何规避版本兼容陷阱、处理特殊权限问题、构建可持续使用的镜像分发体系。这些经验都来自真实的内网部署实践，其中每个步骤都经过生产环境验证。

1. 银河麒麟V10环境准备与Docker离线部署

1.1 系统环境核查

在开始部署前，必须对操作系统环境进行完整核查。执行以下命令获取关键信息：

# 查看系统发行版本 cat /etc/kylin-release # 检查CPU架构（特别注意aarch64与x86_64的区别） uname -p # 确认内核版本 uname -r # 验证iptables版本 iptables --version

典型输出示例：

Kylin Linux Advanced Server release V10 (Tercel) x86_64 4.19.90-23.8.v2101.ky10.x86_64 iptables v1.8.1 (legacy)

注意：银河麒麟V10的软件包兼容性高度依赖内核版本，建议记录上述信息以备后续排查。

1.2 Docker二进制包选择与部署

从官方仓库下载Docker静态二进制包时，需特别注意：

解压安装包后，必须检查文件权限：

tar -zxvf docker-19.03.0.tgz sudo chown -R root:root ./docker \cp -f docker/* /usr/bin/ # 强制覆盖且保留属性

常见问题处理：

• 权限不足错误：检查/usr/bin目录的SELinux上下文
• 服务启动失败：journalctl -xe查看详细日志
• 防火墙冲突：建议永久关闭firewalld和SELinux

2. 私有镜像仓库的部署与配置

2.1 Registry镜像获取与启动

在内网环境获取registry镜像有两种方式：

1. 离线导入方案：

   # 在外网机器拉取镜像 docker pull registry:2 # 保存为归档文件 docker save -o registry.tar registry:2 # 内网机器加载镜像 docker load -i registry.tar

2. 最小化部署：

   docker run -d -p 5000:5000 \ --restart=always \ --name registry \ -v /opt/registry:/var/lib/registry \ registry:2

2.2 安全加固配置

生产环境必须配置HTTPS访问，自签名证书生成示例：

openssl req -newkey rsa:4096 -nodes -sha256 \ -keyout /certs/domain.key -x509 -days 365 \ -out /certs/domain.crt \ -subj "/CN=myregistry.local"

对应的daemon.json配置：

{ "insecure-registries": ["myregistry.local:5000"], "registry-mirrors": [], "data-root": "/data/docker" }

3. 镜像迁移与仓库管理实战

3.1 外网镜像导入流程

完整的内外网镜像迁移方案：

1. 在外网环境拉取基础镜像

   docker pull centos:7

2. 重新标记镜像（关键步骤）

   docker tag centos:7 myregistry.local:5000/centos:7

3. 推送至内网仓库

   docker push myregistry.local:5000/centos:7

3.2 仓库运维管理技巧

• 存储清理：定期执行垃圾回收

  docker exec registry bin/registry garbage-collect /etc/docker/registry/config.yml

• 性能监控：查看仓库存储使用情况

  du -sh /opt/registry/docker/registry/v2/

• 灾难恢复：备份整个存储卷

  tar -czvf registry_backup.tar.gz /opt/registry

4. 企业级容器化工作流构建

4.1 典型内网CI/CD架构

开发机 → 本地构建 → 推送到私有仓库 → 部署服务器拉取

关键配置项：

• 所有构建节点配置daemon.json
• 统一使用仓库域名访问
• 实施镜像签名验证

4.2 权限控制方案

基于Nginx实现基础认证：

server { listen 443 ssl; server_name myregistry.local; ssl_certificate /certs/domain.crt; ssl_certificate_key /certs/domain.key; location / { auth_basic "Registry Realm"; auth_basic_user_file /auth/htpasswd; proxy_pass http://registry:5000; } }

创建认证用户：

htpasswd -Bbn admin password > /auth/htpasswd

在实际项目部署中，我们遇到过registry存储驱动性能问题。当单仓库镜像超过500个时，建议将存储后端改为S3兼容存储或分布式文件系统。