本文简述了Docker pull或push背后的事情,介绍了Docker Registry的三大角色,包括index负责用户认证和镜像校验等信息,registry是镜像仓库,通过Token认证,Registry Client维护推送、拉取及授权。还阐述了获取下载镜像、推送镜像、删除镜像等具体应用场景的原理。
一 总述
简述pull或push背后发生的事情
index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址(location)并响应给docker客户端,docker客户端再从registry下载镜像,在下载过程中 registry会去index校验客户端token的合法性,不同镜像可以保存在不同的registry服务上,其索引信息都放在index服务上!
流程图
二 Docker Registry的三大角色
Docker Registry有三个角色,分别是index、registry和registry client(Docker主机)
1)index
作用:负责并维护有关用户帐户(认证)、镜像的校验(元数据)以及公共命名空间的信息
Web UI、元数据存储、认证服务、符号化
# 不会保存镜像层!
2)registry
说明:是镜像和图表的仓库,它不具有本地数据库以及不提供用户认证,通过Index Auth service的Token的方式进行认证。
3)Registry Client
Docker充当registry客户端来维护推送和拉取,以及客户端的授权!
三 具体的应用场景
情景A:用户要获取并下载镜像-->pull
交互过程
情景A:具体工作流程如下:
1)用户发送请求到index来下载镜像
2)index响应返回三个相关部分信息:
该镜像位于的registry
该镜像包括所有层的校验
以授权目的Token
3)用户通过响应中返回的Token和registry沟通,registry全权负责镜像,它存储基本的镜像和继承的层。
registry现在要与index证实该token是被授权的-->合法性(授权的)
index会发送“true” 或者 “false”给registry,由此允许用户下载所需要的镜像
情景B:用户要推送镜像到registry中-->push
流程图
情景B:具体工作流程如下:
1)用户发送带证书请求到index要求分配库名
2)在成功认证,命名空间可用以及库名被分配之后,index响应返回临时的token
3)用户--->镜像连带token,一起被推送到registry中
4)registry与index证实token,然后在index验证之后开始读取推送流(镜像数据)
5)该index然后更新由Docker Registry生成的镜像校验,保持index和registry的信息对等!
情景C:用户要从index或registry中删除镜像。
原理
情景C 具体工作流程如下:
1) index接收来自Docker一个删除库的信号(signal)
2) 如果index验证库成功,它将删除该库(元数据信息,镜像层没有删除),并返回一个临时token
3) registry现在接收到带有该token的删除信号
4) registry与index核实该token,然后在删除库以及所有相关信息(registry端)。
5) Docker现在通知有关删除的index,然后index移除库的所有记录(双向-->保证删除完整)
达到的目标:会能写画图,并且能讲述原理!
扫一扫
3204
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
