「译文」Docker 镜像仓库配置

👉️URL: https://docs.docker.com/registry/configuration/

📝Description:

Explains how to configure a registry

注册表的配置是基于 YAML 文件的，详见下文。虽然它带有合理的默认值，但在将你的系统转移到生产中之前，你应该详尽地审查它。

RHEL/CentOS 7 的配置

📚 Quote:

How to secure private docker registry on Red Hat Enterprise Linux 7 ? - Red Hat Customer Portal

/etc/docker-distribution/registry/config.yml

version: 0.1
log:
  fields:
    service: registry
storage:
    cache:
        layerinfo: inmemory
    filesystem:
        rootdirectory: /data/registry
    maintenance:
        uploadpurging:
            enabled: true
            age: 1680h
            interval: 24h
            dryrun: false
    delete:
        enabled: true
http:
    addr: :5000

ℹ️ Info:

uploadpurging 2 个月之前的；

可以删除镜像 blobs 和 manifests by digest

Debian 的配置

/etc/docker/registry/config.yml:

version: 0.1
log:
  fields:
    service: registry
storage:
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/docker-registry
  maintenance:
    uploadpurging:
      enabled: true
      age: 744h
      interval: 24h
      dryrun: false
  delete:
    enabled: true
http:
  addr: :5000
  headers:
    X-Content-Type-Options: [nosniff]
health:
  storagedriver:
    enabled: true
    interval: 10s
    threshold: 3

ℹ️ Info:

uploadpurging 1 个月之前的；

可以删除镜像 blobs 和 manifests by digest

覆盖特定配置选项

在一个典型的设置中，你从官方镜像运行注册表，你可以通过传递 -e 参数到你的 docker run 或使用ENV 指令从 Dockerfile 中指定一个配置变量。

要覆盖配置选项，请创建一个名为 REGISTRY_variable 的环境变量，其中 variable 是配置选项的名称，_（下划线）表示缩进级别。例如，你可以配置 filesystem 存储后端的rootdirectory:

storage:
  filesystem:
    rootdirectory: /var/lib/registry

要覆盖这个值，可以这样设置一个环境变量：

REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY=/somewhere

注意：创建一个带有环境变量的基本配置文件，可以通过配置来调整各个数值。不建议用环境变量覆盖配置部分。

覆盖整个配置文件

如果默认配置对您的使用来说不是一个良好的基础，或者如果您在覆盖环境中的键时遇到了问题，您可以通过将其作为一个卷挂载到容器中来指定一个备用 YAML 配置文件。

通常，从头创建一个新的配置文件，命名为 config.yaml, 然后在docker run 命令中指定它：

$ docker run -d -p 5000:5000 --restart=always --name registry \
             -v `pwd`/config.yml:/etc/docker/registry/config.yml \
             registry:2

使用这个示例 YAML 文件作为起点：

version: 0.1
log:
  fields:
    service: registry
storage:
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
http:
  addr: :5000
  headers:
    X-Content-Type-Options: [nosniff]
auth:
  htpasswd:
    realm: basic-realm
    path: /etc/registry
health:
  storagedriver:
    enabled: true
    interval: 10s
    threshold: 3

配置选项列表

这些都是注册表的配置选项。列表中的某些选项是互斥的。在完成配置之前，请阅读有关每个选项的详细参考信息。

version: 0.1
log:
  accesslog:
    disabled: true
  level: debug
  formatter: text
  fields:
    service: registry
    environment: staging
  hooks:
    - type: mail
      disabled: true
      levels:
        - panic
      options:
        smtp:
          addr: mail.example.com:25
          username: mailuser
          password: password
          insecure: true
        from: sender@example.com
        to:
          - errors@example.com
loglevel: debug # deprecated: use "log"
storage:
  filesystem:
    rootdirectory: /var/lib/registry
    maxthreads: 100
  azure:
    accountname: accountname
    accountkey: base64encodedaccountkey
    container: containername
  gcs:
    bucket: bucketname
    keyfile: /path/to/keyfile
    credentials:
      type: service_account
      project_id: project_id_string
      private_key_id: private_key_id_string
      private_key: private_key_string
      client_email: client@example.com
      client_id: client_id_string
      auth_uri: http://example.com/auth_uri
      token_uri: http://example.com/token_uri
      auth_provider_x509_cert_url: http://example.com/provider_cert_url
      client_x509_cert_url: http://example.com/client_cert_url
    rootdirectory: /gcs/object/name/prefix
    chunksize: 5242880
  s3:
    accesskey: awsaccesskey
    secretkey: awssecretkey
    region: us-west-1
    regionendpoint: http://myobjects.local
    bucket: bucketname
    encrypt: true
    keyid: mykeyid
    secure: true
    v4auth: true
    chunksize: 5242880
    multipartcopychunksize: 33554432
    multipartcopymaxconcurrency: 100
    multipartcopythresholdsize: 33554432
    rootdirectory: /s3/object/name/prefix
  swift:
    username: username
    password: password
    authurl: https://storage.myprovider.com/auth/v1.0 or https://storage.myprovider.com/v2.0 or https://storage.myprovider.com/v3/auth
    tenant: tenantname
    tenantid: tenantid
    domain: domain name for Openstack Identity v3 API
    domainid: domain id for Openstack Identity v3 API
    insecureskipverify: true
    region: fr
    container: containername
    rootdirectory: /swift/object/name/prefix
  oss:
    accesskeyid: accesskeyid
    accesskeysecret: accesskeysecret
    region: OSS region name
    endpoint: optional endpoints
    internal: optional internal endpoint
    bucket: OSS bucket
    encrypt: optional data encryption setting
    secure: optional ssl setting
    chunksize: optional size valye
    rootdirectory: optional root directory
  inmemory:  # This driver takes no parameters
  delete:
    enabled: false
  redirect:
    disable: false
  cache:
    blobdescriptor: redis
  maintenance:
    uploadpurging:
      enabled: true
      age: 168h
      interval: 24h
      dryrun: false
    readonly:
      enabled: false
auth:
  silly:
    realm: silly-realm
    service: silly-service
  token:
    autoredirect: true
    realm: token-realm
    service: token-service
    issuer: registry-token-issuer
    rootcertbundle: /root/certs/bundle
  htpasswd:
    realm: basic-realm
    path: /path/to/htpasswd
middleware:
  registry:
    - name: ARegistryMiddleware
      options:
        foo: bar
  repository:
    - name: ARepositoryMiddleware
      options:
        foo: bar
  storage:
    - name: cloudfront
      options:
        baseurl: https://my.cloudfronted.domain.com/
        privatekey: /path/to/pem
        keypairid: cloudfrontkeypairid
        duration: 3000s
        ipfilteredby: awsregion
        awsregion: us-east-1, use-east-2
        updatefrenquency: 12h
        iprangesurl: https://ip-ranges.amazonaws.com/ip-ranges.json
  storage:
    - name: redirect
      options:
        baseurl: https://example.com/
reporting:
  bugsnag:
    apikey: bugsnagapikey
    releasestage: bugsnagreleasestage
    endpoint: bugsnagendpoint
  newrelic:
    licensekey: newreliclicensekey
    name: newrelicname
    verbose: true
http:
  addr: localhost:5000
  prefix: /my/nested/registry/
  host: https://myregistryaddress.org:5000
  secret: asecretforlocaldevelopment
  relativeurls: false
  draintimeout: 60s
  tls:
    certificate: /path/to/x509/public
    key: /path/to/x509/private
    clientcas:
      - /path/to/ca.pem
      - /path/to/another/ca.pem
    letsencrypt:
      cachefile: /path/to/cache-file
      email: emailused@letsencrypt.com
      hosts: [myregistryaddress.org]
  debug:
    addr: localhost:5001
    prometheus:
      enabled: true
      path: /metrics
  headers:
    X-Content-Type-Options: [nosniff]
  http2:
    disabled: false
notifications:
  events:
    includereferences: true
  endpoints:
    - name: alistener
      disabled: false
      url: https://my.listener.com/event
      headers: <http.Header>
      timeout: 1s
      threshold: 10
      backoff: 1s
      ignoredmediatypes:
        - application/octet-stream
      ignore:
        mediatypes:
           - application/octet-stream
        actions:
           - pull
redis:
  addr: localhost:6379
  password: asecret
  db: 0
  dialtimeout: 10ms
  readtimeout: 10ms
  writetimeout: 10ms
  pool:
    maxidle: 16
    maxactive: 64
    idletimeout: 300s
health:
  storagedriver:
    enabled: true
    interval: 10s
    threshold: 3
  file:
    - file: /path/to/checked/file
      interval: 10s
  http:
    - uri: http://server.to.check/must/return/200
      headers:
        Authorization: [Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==]
      statuscode: 200
      timeout: 3s
      interval: 10s
      threshold: 3
  tcp:
    - addr: redis-server.domain.com:6379
      timeout: 3s
      interval: 10s
      threshold: 3
proxy:
  remoteurl: https://registry-1.docker.io
  username: [username]
  password: [password]
compatibility:
  schema1:
    signingkeyfile: /etc/registry/key.json
    enabled: true
validation:
  manifests:
    urls:
      allow:
        - ^https?://([^/]+\.)*example\.com/
      deny:
        - ^https?://www\.example\.com/

在某些情况下，配置选项是 可选 的，但它包含标记为 必需 的子选项。在这些情况下，可以省略父节点及其所有子节点。但是，如果包含父元素，则还必须包含所有标记为 required 的子元素。

version

version: 0.1

version选项是必需的。它指定配置的版本。预计它将保留顶级字段，以便在解析配置文件的其余部分之前进行一致的版本检查。

log

log小节配置日志系统的行为。日志系统将所有内容输出到 stdout。您可以使用此配置部分调整粒度和格式。

log:
  accesslog:
    disabled: true
  level: debug
  formatter: text
  fields:
    service: registry
    environment: staging

参数	Required	描述
level	no	设置日志输出的灵敏度。允许的值是 error、warn、info 和debug。默认值是info。
formatter	no	这将选择日志输出的格式。格式主要影响日志行键控属性的编码方式。 可选项为 text, json, 和logstash. 默认 text.
fields	no	字段名到值的映射。这些被添加到上下文的每个日志行中。这对于标识在其他系统中混杂的日志消息源非常有用。

accesslog

accesslog:
  disabled: true

在 log 中，accesslog配置访问日志系统的行为。缺省情况下，访问日志系统以组合日志格式 (Apache Combined Log Format) 输出到标准输出。可以通过将 boolean 标志 disabled 设置为 true 来禁用访问日志记录。

hooks

hooks:
  - type: mail
    levels:
      - panic
    options:
      smtp:
        addr: smtp.sendhost.com:25
        username: sendername
        password: password
        insecure: true
      from: name@sendhost.com
      to:
        - name@receivehost.com

hooks小节配置 日志 钩子的行为。例如，本小节包括一个序列处理程序，您可以使用它来发送邮件。请参考 log.level 配置打印消息的级别。

loglevel

已弃用 : 请使用log 代替。

loglevel: debug

允许的值error, warn, info 和debug. 默认值 info.

storage

storage:
  filesystem:
    rootdirectory: /var/lib/registry
  azure:
    accountname: accountname
    accountkey: base64encodedaccountkey
    container: containername
  gcs:
    bucket: bucketname
    keyfile: /path/to/keyfile
    credentials:
      type: service_account
      project_id: project_id_string
      private_key_id: private_key_id_string
      private_key: private_key_string
      client_email: client@example.com
      client_id: client_id_string
      auth_uri: http://example.com/auth_uri
      token_uri: http://example.com/token_uri
      auth_provider_x509_cert_url: http://example.com/provider_cert_url
      client_x509_cert_url: http://example.com/client_cert_url
    rootdirectory: /gcs/object/name/prefix
  s3:
    accesskey: awsaccesskey
    secretkey: awssecretkey
    region: us-west-1
    regionendpoint: http://myobjects.local
    bucket: bucketname
    encrypt: true
    keyid: mykeyid
    secure: true
    v4auth: true
    chunksize: 5242880
    multipartcopychunksize: 33554432
    multipartcopymaxconcurrency: 100
    multipartcopythresholdsize: 33554432
    rootdirectory: /s3/object/name/prefix
  swift:
    username: username
    password: password
    authurl: https://storage.myprovider.com/auth/v1.0 or https://storage.myprovider.com/v2.0 or https://storage.myprovider.com/v3/auth
    tenant: tenantname
    tenantid: tenantid
    domain: domain name for Openstack Identity v3 API
    domainid: domain id for Openstack Identity v3 API
    insecureskipverify: true
    region: fr
    container: containername
    rootdirectory: /swift/object/name/prefix
  oss:
    accesskeyid: accesskeyid
    accesskeysecret: accesskeysecret
    region: OSS region name
    endpoint: optional endpoints
    internal: optional internal endpoint
    bucket: OSS bucket
    encrypt: optional data encryption setting
    secure: optional ssl setting
    chunksize: optional size valye
    rootdirectory: optional root directory
  inmemory:
  delete:
    enabled: false
  cache:
    blobdescriptor: inmemory
  maintenance:
    uploadpurging:
      enabled: true
      age: 168h
      interval: 24h
      dryrun: false
    readonly:
      enabled: false
  redirect:
    disable: false

storage选项是 必需 的，它定义了使用哪个存储后端。您必须恰好配置一个后端。如果配置更多，注册表将返回一个错误。你可以选择这些后端存储驱动程序中的任何一个：

存储驱动	描述
filesystem	使用本地磁盘存储注册表文件。它是理想的开发，可能适合一些小规模的生产应用程序。See the driver’s reference documentation.
azure	Microsoft Azure Blob Storage. See the driver’s reference documentation.
gcs	Google Cloud Storage. See the driver’s reference documentation.
s3	Amazon Simple Storage Service (S3) and 兼容对象 Storage Services. See the driver’s reference documentation.
swift	Openstack Swift object storage. See the driver’s reference documentation.
oss	Aliyun OSS for object storage. See the driver’s reference documentation.

仅用于测试，您可以使用 inmemory 存储驱动程序。如果希望从易失性内存运行注册表，请使用 ram 磁盘上的 filesystem driver。

如果在 Windows 上部署注册表，则不建议从主机上挂载 Windows 卷。相反，您可以使用 S3 或 Azure 的后备数据存储。如果你使用一个 Windows 卷，到挂载点的 PATH 长度必须在 MAX_PATH 限制范围内（通常是 255 个字符），否则会出现这个错误：

mkdir /XXX protocol error and your registry will not function properly.

maintenance

目前仅有上传清除和只读 maintenance 两种方式。

uploadpurging

上传清除是一个后台过程，它定期从注册表的上传目录中删除孤立的文件。缺省情况下启用上传清除功能。设置上传目录清除功能，需要设置以下参数。

参数	Required	描述
enabled	yes	Set to true to enable upload purging. Defaults to true.
age	yes	超过这个年龄的上传目录将被删除。默认168h(1 周）。
interval	yes	上传目录清理的时间间隔。Defaults to 24h.
dryrun	yes	将 dryrun 设置为 true 以获得将删除哪些目录的摘要。默认值为false。

注意：年龄和间隔是字符串，包含一个数字，可选的分数和一个单位后缀。例如：45m, 2h10m, 168h。

readonly

如果 maintenance 下的 readonly 部分启用设置为 true，则不允许客户端写入注册表。这种模式对于临时阻止对后端存储的写入非常有用，这样就可以运行垃圾收集。在运行垃圾收集之前，应该重新启动注册表，将readonly 的enabled设置为 true。垃圾收集完成后，注册表可能会再次重启，这一次readonly 从配置中删除（或设置为false)。

delete

使用 delete 设置为 enable 可以删除镜像 blobs 和 manifests by digest。默认为false，但可以通过在配置文件中写入以下内容来启用：

delete:
  enabled: true

cache

使用 cache 结构可以启用缓存存储后端访问的数据。目前，这唯一可用的缓存字段提供了对 layer 元数据的快速访问，如果配置了，它将使用 blobdescriptor 字段。

你可以设置blobdescriptor 为 redis 或 inmemory. 如果设置为 redis, Redis 池缓存层元数据。如果设置为inmemory，内存映射缓存层元数据。

注意：以前，blobdescriptor被称为 layerinfo。虽然它们是等价的，但是layerinfo 已被弃用。

redirect

redirect小节提供了用于管理内容后端重定向的配置。对于支持重定向的后端，默认情况下启用重定向。在某些部署场景中，您可能决定通过 Registry 路由所有数据，而不是重定向到后端。当使用不位于同一位置的后端或当注册表实例正在积极缓存时，这可能会更有效。

要禁用重定向，添加一个单独的标志 disable，在redirect 部分设置为true:

redirect:
  disable: true

auth

auth:
  silly:
    realm: silly-realm
    service: silly-service
  token:
    realm: token-realm
    service: token-service
    issuer: registry-token-issuer
    rootcertbundle: /root/certs/bundle
  htpasswd:
    realm: basic-realm
    path: /path/to/htpasswd

auth选项是可选的。可能的认证提供者包括：

• silly
• token
• htpasswd
• [none]

只能配置一个身份验证提供程序。

silly

silly（愚蠢）的身份验证提供者只适合于开发。它只是检查 HTTP 请求中是否存在 Authorization 头。它不检查报头的值。如果报头不存在，愚蠢的认证响应一个质询响应，回显访问被拒绝的领域、服务和范围。

以下值用于配置响应：

参数	Required	描述
realm	yes	注册中心服务器进行身份验证的领域。
service	yes	正在验证的服务

token

基于令牌的身份验证允许您将身份验证系统与注册表解耦。它是一种已建立的具有高度安全性的身份验证范例。

参数	Required	描述
realm	yes	注册中心服务器进行身份验证的领域（realm）。
service	yes	正在验证的服务。
issuer	yes	令牌颁发者的名称。颁发者将此值插入到令牌中，因此它必须匹配为颁发者配置的值。
rootcertbundle	yes	根证书包的绝对路径。此包包含用于签署身份验证令牌的证书的公共部分。
autoredirect	no	当设置为 true 时，realm将自动被设置为使用请求的 Host 报头作为域和 /auth/token/ 作为路径

有关基于令牌的身份验证配置的更多信息，请参见 规范。

htpasswd

支持的 htpasswd 身份验证允许您使用 Apache htpasswd 文件 配置基本身份验证。唯一支持的密码格式是 bcrypt。其他哈希类型的条目将被忽略。htpasswd 文件只在启动时加载一次。如果文件无效，注册表将显示一个错误，并且不会启动。

警告：如果 htpasswd文件缺失，将使用默认用户和自动生成的密码创建和发放该文件。密码将打印到标准输出。

警告：只使用配置了 TLS 的 htpasswd 身份验证方案，因为基本身份验证将密码作为 HTTP 报头的一部分发送。

参数	Required	描述
realm	yes	注册中心服务器进行身份验证的领域。
path	yes	启动时加载 htpasswd 文件的路径

middleware

middleware结构是 可选 的。使用这个选项在指定的钩子点注入中间件。每个中间件必须实现与它所包装的对象相同的接口。例如，注册中心中间件必须实现 distribution.Namespace 接口，而 repository 中间件必须实现distribution.Repository, 和存储中间件必须实现driver.StorageDriver。

下面是 cloudfront 中间件（存储中间件）的一个配置示例：

middleware:
  registry:
    - name: ARegistryMiddleware
      options:
        foo: bar
  repository:
    - name: ARepositoryMiddleware
      options:
        foo: bar
  storage:
    - name: cloudfront
      options:
        baseurl: https://my.cloudfronted.domain.com/
        privatekey: /path/to/pem
        keypairid: cloudfrontkeypairid
        duration: 3000s
        ipfilteredby: awsregion
        awsregion: us-east-1, use-east-2
        updatefrenquency: 12h
        iprangesurl: https://ip-ranges.amazonaws.com/ip-ranges.json

每个中间件条目都有 name 和options条目。name必须与中间件注册自身时使用的名称相对应。options字段是一个映射，它详细说明了初始化中间件所需的定制配置。它被视为一个map[string]interface{}。因此，它支持所需的任何有趣的结构，让中间件初始化函数来最好地决定如何处理选项的特定解释。

cloudfront

参数	Required	描述
baseurl	yes	The SCHEME://HOST[/PATH] at which Cloudfront is served.
privatekey	yes	The private key for Cloudfront, provided by AWS.
keypairid	yes	The key pair ID provided by AWS.
duration	no	An integer and unit for the duration of the Cloudfront session. Valid time units are ns, us (or µs), ms, s, m, or h. For example, 3000s is valid, but 3000 s is not. If you do not specify a duration or you specify an integer without a time unit, the duration defaults to 20m (20 minutes).
ipfilteredby	no	A string with the following value none, aws or awsregion.
awsregion	no	A comma separated string of AWS regions, only available when ipfilteredby is awsregion. For example, us-east-1, us-west-2
updatefrenquency	no	The frequency to update AWS IP regions, default: 12h
iprangesurl	no	The URL contains the AWS IP ranges information, default: https://ip-ranges.amazonaws.com/ip-ranges.json

ipfilteredby的取值包括：

Value	Description
none	default, do not filter by IP
aws	IP from AWS goes to S3 directly
awsregion	IP from certain AWS regions goes to S3 directly, use together with awsregion.

redirect

您可以使用 redirect 存储中间件为 S3 存储驱动程序存储的层指定一个自定义 URL 到代理的位置。

Parameter	Required	Description
baseurl	yes	SCHEME://HOST at which layers are served. Can also contain port. For example, https://example.com:5443.

reporting

reporting:
  bugsnag:
    apikey: bugsnagapikey
    releasestage: bugsnagreleasestage
    endpoint: bugsnagendpoint
  newrelic:
    licensekey: newreliclicensekey
    name: newrelicname
    verbose: true

reporting选项是可选的，用于配置错误和度量报告工具。目前只支持两种服务：

• Bugsnag
• New Relic

有效的配置可以同时包含这两种配置。

bugsnag

Parameter	Required	Description
apikey	yes	The API Key provided by Bugsnag.
releasestage	no	Tracks where the registry is deployed, using a string like production, staging, or development.
endpoint	no	The enterprise Bugsnag endpoint.

newrelic

Parameter	Required	Description
licensekey	yes	License key provided by New Relic.
name	no	New Relic application name.
verbose	no	Set to true to enable New Relic debugging output on stdout.

http

http:
  addr: localhost:5000
  net: tcp
  prefix: /my/nested/registry/
  host: https://myregistryaddress.org:5000
  secret: asecretforlocaldevelopment
  relativeurls: false
  draintimeout: 60s
  tls:
    certificate: /path/to/x509/public
    key: /path/to/x509/private
    clientcas:
      - /path/to/ca.pem
      - /path/to/another/ca.pem
    minimumtls: tls1.2
    ciphersuites:
      - TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      - TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    letsencrypt:
      cachefile: /path/to/cache-file
      email: emailused@letsencrypt.com
      hosts: [myregistryaddress.org]
  debug:
    addr: localhost:5001
  headers:
    X-Content-Type-Options: [nosniff]
  http2:
    disabled: false

http选项详细说明了承载注册中心的 http 服务器的配置。

Parameter	Required	Description
addr	yes	The address for which the server should accept connections. The form depends on a network type (see the net option). Use HOST:PORT for TCP and FILE for a UNIX socket. 服务器应该接受连接的地址。表单取决于网络类型（请参阅 net 选项）。使用HOST:PORT for tcp, 使用FILE for UNIX 套接字。
net	no	用于创建监听套接字的网络。已知的网络有 unix and tcp.
prefix	no	如果服务器不在根路径上运行，则将其设置为前缀的值。根路径是 v2 之前的部分。它需要前斜杠和后斜杠，例如示例中的/path/。
host	no	注册表外部可达地址的完全限定 URL。如果存在，则在创建生成的 url 时使用它。否则，这些 url 派生自客户端请求。
secret	no	一种用于签名状态的随机数据，可以存储在客户端以防止篡改。对于生产环境，您应该使用加密安全的随机生成器生成一段随机数据。如果省略该秘密，注册表将在启动时自动生成一个秘密。如果您在负载均衡器后面构建一个注册表集群，您必须确保所有注册表的秘密是相同的。
relativeurls	no	如果为true，注册表将在 Location 头中返回相对 url。客户端负责解析正确的 URL。此选项不兼容 Docker 1.7 及更早版本。
draintimeout	no	注册表收到 SIGTERM 信号后，在关闭之前等待 HTTP 连接耗尽的时间

tls

http中的 tls 结构是可选的。用于为服务器配置 TLS。如果您已经有一个 web 服务器运行在与注册表相同的主机上，您可能更喜欢在该 web 服务器上配置 TLS 和到注册表服务器的代理连接。

Parameter	Required	Description
certificate	yes	x509 证书文件的绝对路径。
key	yes	x509 私钥文件的绝对路径。
clientcas	no	x509 CA 文件的绝对路径的数组。
minimumtls	no	TLS 最小版本 (tls1.0, tls1.1, tls1.2, tls1.3)。默认为 tls1.2
ciphersuites	no	允许的密码套件。请查看下面允许的值和默认值。

可用密码套件：

• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_3DES_EDE_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_RC4_128_SHA
• TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_AES_128_GCM_SHA256
• TLS_AES_256_GCM_SHA384
• TLS_CHACHA20_POLY1305_SHA256

默认密码套件：

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_AES_128_GCM_SHA256
• TLS_CHACHA20_POLY1305_SHA256
• TLS_AES_256_GCM_SHA384

letsencrypt

tls中的 letsencrypt 结构是可选的。使用此配置由“Let’s Encrypt”提供 TLS 证书。

注意：当使用 Let’s Encrypt 时，请确保在端口 443 上可以访问向外的地址。注册表默认监听端口 5000。如果您将注册表作为容器运行，请考虑在 docker run 命令中添加标志-p 443:5000，或者在云配置中使用类似的设置。您还应该将hosts 选项设置为对该注册表有效的主机名列表，以避免由于恶意客户机使用伪 SNI 主机名连接而试图获取随机主机名的证书。

Parameter	Required	Description
cachefile	yes	Let’s Encrypt agent 可以缓存数据的文件的绝对路径。
email	yes	注册 Let 's Encrypt 时使用的电子邮件地址。
hosts	no	Let’s Encrypt 证书允许的主机名。

debug

debug选项是 可选 的。使用它可以配置调试服务器，这有助于诊断问题。调试端点可用于监视注册表指标和运行状况，以及分析。敏感信息可以通过调试端点获得。请确保在生产环境中锁定了对调试端点的访问。

debug部分接受一个必需的 addr 参数，它指定调试服务器应该在其上接受连接的HOST:PORT。

prometheus

prometheus选项定义是否启用 prometheus 度量标准，以及访问度量标准的路径。

Parameter	Required	Description
enabled	no	设置为true，开启普罗米修斯服务器
path	no	访问度量的路径，默认情况下为/metrics

访问指标的 url 是 HOST:PORT/path，其中HOST:PORT 是在 debug 下的 addr 中定义的。

headers

headers选项是 可选 的。使用它来指定 HTTP 服务器应该在响应中包含的头。这可以用于安全头，如Strict-Transport-Security。

headers选项应该包含每个报头要包含的选项，其中参数名是报头的名称，参数值是报头有效载荷值的列表。

建议包含X-Content-Type-Options: [nosniff]，这样，如果浏览器被引导从注册表加载页面，就不会将内容解释为 HTML。这个头文件包含在示例配置文件中。

http2

http中的 http2 结构是可选的。使用它来控制注册表的 http2 设置。

Parameter	Required	Description
disabled	no	If true, then http2 support is disabled.

notifications

notifications:
  events:
    includereferences: true
  endpoints:
    - name: alistener
      disabled: false
      url: https://my.listener.com/event
      headers: <http.Header>
      timeout: 1s
      threshold: 10
      backoff: 1s
      ignoredmediatypes:
        - application/octet-stream
      ignore:
        mediatypes:
           - application/octet-stream
        actions:
           - pull

notifications选项是可选的，目前可能包含单个选项 endpoints。

endpoints

endpoints结构包含可以接受事件通知的命名服务 (url) 列表。

Parameter	Required	Description
name	yes	服务的人类可读的名称。
disabled	no	如果为true，则禁用该服务的通知。
url	yes	事件应该发布到的 URL。
headers	yes	要添加到每个请求的静态报头列表。每个报头的名称是报头下面的一个键，每个值是该报头名称的有效负载列表。值必须始终是列表。
timeout	yes	HTTP 超时的值。一个正整数和一个指示时间单位的可选后缀，可以是 ns, us, ms, s, m, or h. 如果省略时间单位，则使用ns。
threshold	yes	一个整数，指定在退回失败之前等待多长时间。
backoff	yes	出现故障后，系统在重试之前退回的时间。一个正整数和一个指示时间单位的可选后缀，可以是 ns, us, ms, s, m, or h. 如果省略时间单位，则使用ns。
ignoredmediatypes	no	要忽略的目标媒体类型的列表。具有这些目标媒体类型的事件不会发布到端点
ignore	no	具有这些媒体类型或操作的事件不会发布到端点。

ignore

Parameter	Required	Description
mediatypes	no	要忽略的目标媒体类型的列表。具有这些目标媒体类型的事件不会发布到端点。
actions	no	可以忽略的行动列表。带有这些操作的事件不会发布到端点。

events

events结构配置事件通知中提供的信息。

Parameter	Required	Description
includereferences	no	如果为真，则在 manifest 事件中包含引用信息。

redis

redis:
  addr: localhost:6379
  password: asecret
  db: 0
  dialtimeout: 10ms
  readtimeout: 10ms
  writetimeout: 10ms
  pool:
    maxidle: 16
    maxactive: 64
    idletimeout: 300s

声明用于构建 redis 连接的参数。注册表实例可以在多个应用程序中使用 Redis 实例。目前，它缓存关于不可变 blobs 的信息。大多数 redis 选项控制注册表如何连接到 redis 实例。您可以使用 pool 分段来控制池的行为。

你应该配置 Redis 为allkeys-lru eviction 策略，因为注册表不会为 key 设置过期值。

Parameter	Required	Description
addr	yes	Redis 实例的地址（主机和端口）。
password	no	用于验证 Redis 实例的密码。
db	no	要用于每个连接的数据库的名称。
dialtimeout	no	连接 Redis 实例的超时时间。
readtimeout	no	从 Redis 实例读取的超时时间。
writetimeout	no	写入 Redis 实例的超时时间。

pool

pool:
  maxidle: 16
  maxactive: 64
  idletimeout: 300s

使用这些设置配置 Redis 连接池的行为。

Parameter	Required	Description
maxidle	no	池中最大空闲连接数。
maxactive	no	在阻塞连接请求之前可以打开的最大连接数。
idletimeout	no	关闭不活动连接前需要等待多长时间。

health

health:
  storagedriver:
    enabled: true
    interval: 10s
    threshold: 3
  file:
    - file: /path/to/checked/file
      interval: 10s
  http:
    - uri: http://server.to.check/must/return/200
      headers:
        Authorization: [Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==]
      statuscode: 200
      timeout: 3s
      interval: 10s
      threshold: 3
  tcp:
    - addr: redis-server.domain.com:6379
      timeout: 3s
      interval: 10s
      threshold: 3

health选项是 可选 的，包含存储驱动程序后端存储上定期运行状况检查的首选项，以及本地文件、HTTP uri 和 / 或 TCP 服务器上的可选定期检查。如果启用了调试 HTTP 服务器（参见 HTTP 部分），运行状况检查的结果可以在调试 HTTP 服务器的 /debug/health 状况端点获得。

storagedriver

storagedriver结构包含对已配置的存储驱动程序的后端存储进行健康检查的选项。当 enabled 设置为 true 时，健康检查是激活的。

Parameter	Required	Description
enabled	yes	设置为 true 表示启用存储驱动程序健康检查，设置为 false 表示禁用存储驱动程序健康检查。
interval	no	重复存储驱动程序运行状况检查之间的等待时间。一个正整数和一个指示时间单位的可选后缀。后缀是 ns, us, ms, s, m, or h. Defaults to 10s if the value is omitted. 如果您指定了一个值但省略了后缀，则该值将被解释为纳秒数。
threshold	no	一个正整数，表示在将状态标记为不健康之前，检查必须失败的次数。如果未指定，单个故障将将状态标记为不健康。

file

file结构包括一个定期检查文件是否存在的路径列表。如果在指定路径上存在文件，则健康检查将失败。您可以使用这种机制通过创建一个文件使注册表停止 rotation 。

Parameter	Required	Description
file	yes	检查文件是否存在的路径。
interval	no	How long to wait before repeating the check. A positive integer and an optional suffix indicating the unit of time. The suffix is one of ns, us, ms, s, m, or h. Defaults to 10s if the value is omitted. If you specify a value but omit the suffix, the value is interpreted as a number of nanoseconds.

http

http结构包括一个 http uri 列表，可以通过 HEAD 请求定期检查。如果 HEAD 请求没有完成或返回一个意外的状态码，则健康检查将失败。

Parameter	Required	Description
uri	yes	The URI to check.
headers	no	Static headers to add to each request. Each header’s name is a key beneath headers, and each value is a list of payloads for that header name. Values must always be lists.
statuscode	no	The expected status code from the HTTP URI. Defaults to 200.
timeout	no	How long to wait before timing out the HTTP request. A positive integer and an optional suffix indicating the unit of time. The suffix is one of ns, us, ms, s, m, or h. If you specify a value but omit the suffix, the value is interpreted as a number of nanoseconds.
interval	no	How long to wait before repeating the check. A positive integer and an optional suffix indicating the unit of time. The suffix is one of ns, us, ms, s, m, or h. Defaults to 10s if the value is omitted. If you specify a value but omit the suffix, the value is interpreted as a number of nanoseconds.
threshold	no	The number of times the check must fail before the state is marked as unhealthy. If this field is not specified, a single failure marks the state as unhealthy.

tcp

tcp结构包括一个 tcp 地址列表，可以使用 tcp 连接尝试定期检查这些地址。地址必须包含端口号。如果连接失败，则健康检查失败。

Parameter	Required	Description
addr	yes	The TCP address and port to connect to.
timeout	no	How long to wait before timing out the TCP connection. A positive integer and an optional suffix indicating the unit of time. The suffix is one of ns, us, ms, s, m, or h. If you specify a value but omit the suffix, the value is interpreted as a number of nanoseconds.
interval	no	How long to wait between repetitions of the check. A positive integer and an optional suffix indicating the unit of time. The suffix is one of ns, us, ms, s, m, or h. Defaults to 10s if the value is omitted. If you specify a value but omit the suffix, the value is interpreted as a number of nanoseconds.
threshold	no	The number of times the check must fail before the state is marked as unhealthy. If this field is not specified, a single failure marks the state as unhealthy.

proxy

proxy:
  remoteurl: https://registry-1.docker.io
  username: [username]
  password: [password]

proxy结构允许注册表被配置为 Docker Hub 的一个 pull-through 缓存。更多信息见 mirror。不支持 push 到配置为 pull-through 缓存的注册表。

Parameter	Required	Description
remoteurl	yes	Docker Hub 上存储库的 URL。
username	no	注册到 Docker Hub 的可以访问存储库的用户名。
password	no	使用“username”中指定的用户名验证到 Docker Hub 的密码。

要启用 pulling 私有存储库（如 batman/robin)，请指定用户名（如 batman) 和该用户名的密码。

注意：这些私有存储库存储在代理缓存的存储中。采取适当的措施来保护对代理缓存的访问。

compatibility

compatibility:
  schema1:
    signingkeyfile: /etc/registry/key.json
    enabled: true

使用 compatibility 结构来配置对旧的和已弃用的特性的处理。每个小节定义了具有可配置行为的这种特性。

schema1

Parameter	Required	Description
signingkeyfile	no	The signing private key used to add signatures to schema1 manifests. If no signing key is provided, a new ECDSA key is generated when the registry starts.
enabled	no	If this is not set to true, schema1 manifests cannot be pushed.

validation

validation:
  manifests:
    urls:
      allow:
        - ^https?://([^/]+\.)*example\.com/
      deny:
        - ^https?://www\.example\.com/

disabled

disabled标志禁用了 validation 部分中的其他选项。默认情况下是启用的。This option deprecates the enabled flag.

manifests

使用 manifests 小节配置清单的验证。如果 disabled 为false，则验证不允许任何操作。

urls

allow and deny 选项都是一个 正则表达式 列表，用于限制 pushed manifests 中的 url。

如果未设置allow，则推送包含 url 的清单将失败。

如果设置了 allow，那么只有当所有的 url 都匹配allow 正则表达式中的一个，并且有以下一个匹配时，才会成功推送清单：

1. deny 未设置
2. deny已设置，但是清单中没有 url 匹配任何 deny 正则表达式。

示例：开发配置

你可以使用这个简单的例子来进行本地开发：

version: 0.1
log:
  level: debug
storage:
    filesystem:
        rootdirectory: /var/lib/registry
http:
    addr: localhost:5000
    secret: asecretforlocaldevelopment
    debug:
        addr: localhost:5001

这个示例将注册表实例配置为在端口 5000 上运行，绑定到 localhost，并启用debug 服务器。注册表数据存放在“/var/lib/registry”目录下。日志记录被设置为 debug 模式，这是最详细的。

参见另一个简单配置 config-example.yml 。这两个例子通常对本地开发是有用的。

示例：中间件配置

本示例将 Amazon Cloudfront 配置为注册中心中的存储中间件。中间件允许注册中心通过内容传递网络 (CDN) 为各层提供服务。这减少了对存储层的请求。

Cloudfront 需要 S3 存储驱动程序。

下面是用 YAML 表示的配置：

middleware:
  storage:
  - name: cloudfront
    disabled: false
    options:
      baseurl: http://d111111abcdef8.cloudfront.net
      privatekey: /path/to/asecret.pem
      keypairid: asecret
      duration: 60s

有关配置选项的更多信息，请参阅 Cloudfront 的配置参考。

注意：Cloudfront 密钥与其他 AWS 密钥分开存在。有关更多信息，请参阅 AWS 凭据文档。