首先看看網(wǎng)上一般的做法
私有庫默認是不支持刪除鏡像的�,需要修改config.yml配置文件���,在storage節(jié)點下加入 delete: enabled: true �����,然后重啟私有庫�。
docker 提供的鏡像刪除api為:
DELETE ip:端口/v2/<repository>/manifests/<reference>
repository 為鏡像的repository
reference 為鏡像push成功后生成的 digest:sha256 值
獲取 digest :
curl --header "Accept: application/vnd.docker.distribution.manifest.v2+json" -I -XGET <私有庫ip>:端口號/v2/<鏡像repository>/manifests/<鏡像tag>
注意:
--header "Accept: application/vnd.docker.distribution.manifest.v2+json" 這個header 是必須要加的���,不加的話Content-Type 是v1+prettyjws����,獲取的digest是錯誤的?�?!
例:
curl --header "Accept: application/vnd.docker.distribution.manifest.v2+json" -I -XGET 192.168.120.107:5000/v2/my-registry/manifests/1.0
刪除鏡像:
例:
curl -I -X DELETE http://192.168.120.107:5000/v2/my-repository/manifests/sha256:4d523adb3c653bab7dfd0326081860b3cba24dc393f69d6731daa513c435ec0c
刪除后我們查看下私有庫
curl 192.168.120.107:5000/ v2/my-repository/tags/list
就會發(fā)現(xiàn)剛刪除的那個tag不見了����。但是如果在執(zhí)行命令的前后車庫內(nèi)私有庫鏡像存儲目錄的文件大小��,會發(fā)現(xiàn)并沒有多大的變化
顯然數(shù)據(jù)并沒有被真的刪除,我們還需要運行docker提供的垃圾回收命令。
垃圾回收
我們需要登錄 私有庫所在的服務(wù)器�,然后執(zhí)行命令:
docker exec -it <私有庫的容器ID或者容器名> sh -c ' registry garbage-collect /etc/docker/registry/config.yml'
當然,也可以進入到私有庫的容器中,再執(zhí)行:
docker exec -it <私有庫的容器ID或者容器名> sh
registry garbage-collect /etc/docker/registry/config.yml
這種方法特別麻煩���,只能刪tag,不會刪repository,刪除之后會在blobs目錄下留下很多空文件夾,而且如果一個repository下有多個tag,而這些tag的數(shù)據(jù)相同的話����,刪除其中一個tag會同時把所有tag都刪了
雖然網(wǎng)上有刪除私有庫鏡像的python腳本��,但是我感覺并不好用��。
我是不會滿足于此的,于是我自己寫了個sh腳本��,先來看看效果����。
腳本還有一些人性化的提示���,而且sh腳本通俗易懂,容易擴展�����,腳本我也上傳到gitHub上了�,有興趣的可以下載試試����。
gitHub地址:https://github.com/hushuai86/docker-delete
下載運行:
#先下載腳本到/usr/local/bin/目錄下 curl https://raw.githubusercontent.com/hushuai86/docker-delete/master/docker-delete-2.0.sh | sudo tee /usr/local/bin/docker-delete >/dev/null
#賦予可執(zhí)行權(quán)限 chmod a+x /usr/local/bin/docker-delete
#私有庫鏡像存儲目錄路徑全局環(huán)境變量(該路徑就是運行私有庫容器時,用-v 命令將私有庫容器內(nèi) /var/lib/registry目錄掛載到本機的路徑) #例: /opt/data/registry是我運行容器時私有庫鏡像存儲目錄掛載到本地的目錄 echo "export DOCKER_REGISTRY_DIR=/opt/data/registry" >>/etc/profile
#運行私有庫容器ID全局環(huán)境變量設(shè)置(正在運行的私有庫容器的 ID) #例: 89b9b3c9054ay是我的私有庫庫容器的id echo "export DOCKER_REGISTRY_CONTAINER_ID=89b9b3c9054a" >>/etc/profile
#使配置生效 source /etc/profile
然后就可以使用docker-delete命令了�,如果你覺得腳本有哪些用著不舒服的地方,可以編輯腳本自己改改
原理解析:
(在以下的截圖中 /opt/data/registry是我運行容器時私有庫鏡像存儲目錄掛載到本地的目錄)
私有庫鏡像存儲目錄下有兩個文件夾 blobs和 repositories
其中repositories目錄下是以鏡像repository命名的幾個文件
也就是說想要知道私有庫有哪些鏡像�,直接看這個文件夾有哪些子文件夾就知道了
而在每個鏡像repository文件夾/_manifests/tags目錄下可以 看到該鏡像有哪些tag
但是鏡像的真實數(shù)據(jù)并不在repositories目錄下,而是以數(shù)據(jù)塊的方式存儲在blobs目錄下����,一個鏡像被分成多個數(shù)據(jù)塊����,也就是執(zhí)行垃圾回收命令時輸出的 ‘marking blob …‘那樣的關(guān)聯(lián)關(guān)系����,而鏡像和數(shù)據(jù)塊之間的關(guān)聯(lián)關(guān)系就是在 repositories/鏡像repository/_manifests/revisions/sha256/ 目錄下的sha256值。
在以sha256值命名的目錄下有個link的文件�����,內(nèi)容就是這個sha256值
經(jīng)過我測試發(fā)現(xiàn)����,只要這個link文件被刪除,然后在私有庫容器內(nèi)執(zhí)行垃圾回收命令‘ registry garbage-collect /etc/docker/registry/config.yml'�,那么這個sha256值關(guān)聯(lián)的blobs就會被徹底刪除
但是,一個鏡像可能有很多個tag,那么這個sha256值關(guān)聯(lián)的 blobs數(shù)據(jù) 到底屬于哪個 tag呢���?
我們進到鏡像的某個tag/index/sha256/ 目錄���,會發(fā)現(xiàn) 有個 sha256值命名的文件夾,而且這個sha256值 在之前的revisions/sha256/ 下存在�����。在這個文件夾下也有個link文件,保存了該sha256值�。
所以根據(jù)我的理解,當我們調(diào)用docker提供的API 刪除一個tag時���,會在這個鏡像的tag/index/sha256/<sha256值>/link文件中獲取sha256值�,然后看是不是還有其他tag也關(guān)聯(lián)了這個sha256值�����,如果有的話���,只刪除這個tag文件夾����,如果沒有的話���,那么在刪除這個tag的文件的同時還會刪掉 revisions/sha256/ 目錄下的 改sha256對應(yīng)的link文件,這樣的話��,當在容器內(nèi)執(zhí)行垃圾回收的命令時����,就會徹底刪除該sha256值關(guān)聯(lián)的blobs數(shù)據(jù)���。
特別注意:
在徹底刪除一個鏡像的數(shù)據(jù)后,需要重啟下私有庫容器��,如果不重啟的話��,你再push該鏡像到私有庫時���,總是會輸出 Layer already exists �,似乎是push上去了���,但是如果你刪除本地的該鏡像���,然后再pull ,就會報錯。
當然�,我寫的腳本里是有這個步驟的
以上為個人經(jīng)驗,希望能給大家一個參考�����,也希望大家多多支持腳本之家。如有錯誤或未考慮完全的地方�����,望不吝賜教���。
