Khi làm DevOps, bạn không thể mãi dựa vào Docker Hub để lưu image – nhất là khi cần bảo mật hoặc tốc độ cao trong pipeline. Docker Registry trong DevOps là giải pháp để tự quản lý image. Trong bài thứ mười hai của series mở rộng, tôi sẽ dẫn bạn qua cách tự host registry, quản lý image với private registry, và thực hành setup một registry an toàn – dựa trên kinh nghiệm thực tế tôi đã triển khai, không chỉ là lý thuyết đâu nhé!

Docker Registry Là Gì?

Tổng Quan Registry

Docker Registry là nơi lưu trữ và phân phối Docker image – giống như “kho hàng” cho container.

• Docker Hub: Registry công khai mặc định.
• Private Registry: Registry tự host, kiểm soát truy cập.

Ví dụ: Bạn build image trong CI, push lên private registry, rồi deploy từ đó.

Tại Sao Cần Tự Host trong DevOps?

• Bảo mật: Giữ image nội bộ, không lộ ra ngoài.
• Tốc độ: Pull/push nhanh hơn từ local network.
• Tùy chỉnh: Quản lý version, quyền truy cập.

Thực tế: Một team từng gặp delay 5 phút khi pull từ Docker Hub do mạng chậm. Tự host registry giảm thời gian xuống dưới 30 giây.

Setup Private Registry với Docker

Registry Cơ Bản

Docker cung cấp image registry để tự host.

1. Chạy registry:

   docker run -d -p 5000:5000 --name registry registry:2

2. Build image test:

   docker build -t localhost:5000/myapp .

3. Push:

   docker push localhost:5000/myapp

4. Pull và chạy:

   docker pull localhost:5000/myapp
   docker run -d localhost:5000/myapp

DevOps: Registry cơ bản đủ dùng cho test local.

Persistent Storage

Registry mặc định lưu image trong container – mất khi dừng. Thêm volume:

docker run -d -p 5000:5000 -v registry-data:/var/lib/registry --name registry registry:2

Kết quả: Image vẫn còn sau khi restart.

Thực Hành: Private Registry Bảo Mật

Chuẩn Bị

• Máy local hoặc server.
• Ứng dụng Flask từ bài trước.

1. Dockerfile:

   FROM python:3.9-slim
   WORKDIR /app
   COPY requirements.txt .
   RUN pip install -r requirements.txt
   COPY app.py .
   CMD ["python", "app.py"]

   • app.py:

     from flask import Flask
     app = Flask(__name__)
     
     @app.route('/')
     def hello():
      return "Hello Registry!"
     
     if __name__ == "__main__":
      app.run(host="0.0.0.0", port=5000)

   • requirements.txt:

     flask==2.0.1

2. Build:

   docker build -t myapp .

Setup Registry với HTTPS và Auth

1. Tạo thư mục:

   mkdir -p registry/auth registry/data

2. Tạo user/password:

   docker run --entrypoint htpasswd registry:2 -Bbn myuser mypass > registry/auth/htpasswd

3. Tạo cert (self-signed):

   openssl req -newkey rsa:2048 -nodes -keyout registry/domain.key -x509 -days 365 -out registry/domain.crt

   • Điền thông tin (VD: CN = localhost).

4. Chạy registry:

   docker run -d -p 5000:5000 \
    -v $(pwd)/registry/data:/var/lib/registry \
    -v $(pwd)/registry/auth:/auth \
    -e "REGISTRY_AUTH=htpasswd" \
    -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
    -e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \
    -v $(pwd)/registry:/certs \
    -e "REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt" \
    -e "REGISTRY_HTTP_TLS_KEY=/certs/domain.key" \
    --name registry registry:2

5. Cấu hình client:

   • Thêm insecure-registries (vì self-signed):

     # /etc/docker/daemon.json
     {
     "insecure-registries": ["localhost:5000"]
     }

   • Restart Docker:

     sudo systemctl restart docker

6. Push image:

   docker tag myapp localhost:5000/myapp
   docker login localhost:5000 -u myuser -p mypass
   docker push localhost:5000/myapp

7. Test:

   docker pull localhost:5000/myapp
   docker run -d -p 5000:5000 localhost:5000/myapp
   curl localhost:5000

   • Kết quả: “Hello Registry!”.

Debug tip:

• Push lỗi: Check auth (docker logs registry), cert path.
• Pull fail: Xác nhận insecure-registries trong daemon.json.

Ứng Dụng trong DevOps

Pipeline CI/CD

• Push lên private registry:

  build:
  image: docker
  services:
    - docker:dind
  script:
    - docker build -t localhost:5000/myapp:$CI_COMMIT_SHA .
    - docker login -u $REGISTRY_USER -p $REGISTRY_PASS localhost:5000
    - docker push localhost:5000/myapp:$CI_COMMIT_SHA

• Deploy từ registry:

  deploy:
  script:
    - docker pull localhost:5000/myapp:$CI_COMMIT_SHA
    - docker service update --image localhost:5000/myapp:$CI_COMMIT_SHA web

Kết quả: Pipeline dùng registry nội bộ, nhanh và an toàn.

Microservices

• Mỗi service có repo riêng trong registry (VD: localhost:5000/api, localhost:5000/web).

Case study: Một team setup private registry trên AWS EC2, giảm chi phí pull từ Docker Hub 40%, tăng bảo mật cho image nội bộ.

Best Practice

• Dùng HTTPS + auth cho production.
• Backup volume registry định kỳ:

  tar -czf registry-backup.tar.gz registry/data

Kết Luận

Docker Registry trong DevOps là bước tiến để bạn làm chủ quản lý image với tự host registry. Từ setup cơ bản đến private registry bảo mật, thực hành với Flask cho thấy bạn có thể áp dụng ngay vào CI/CD và microservices. Series đã đi được 12 bài – bạn muốn tiếp tục với Docker với Cloud hay dừng lại? Hãy cho tôi biết nhé!