Docker Hub

Docker Hub — это центральный публичный реестр по умолчанию, встроенный в командную строку docker. Он позволяет пользователям хранить, распространять и управлять контейнерными образами. Любая команда docker pull nginx автоматически направляется к docker.io/library/nginx, что делает Docker Hub удобным инструментом для работы с контейнерами. Реестр используется для публикации открытых образов, автоматической сборки из GitHub, а также для хранения приватных образов на платных тарифах. Docker Hub играет ключевую роль в контейнеризации, предоставляя простой и удобный способ управления образами.

Как это работает

Docker Hub представляет собой центральный публичный реестр, который хранит и раздаёт контейнерные образы. Он встроен в командную строку docker, что делает его доступным для всех пользователей. Реестр позволяет загружать, тегировать и отправлять образы. Для работы с реестром используются команды docker login, docker tag repo/image:tag и docker push. Команда docker login позволяет аутентифицироваться в реестре, что увеличивает лимит анонимных запросов pull до 200 за 6 часов на IP. Это особенно важно для CI/CD систем, где часто требуется загрузка большого числа образов.

Когда применять

Docker Hub идеально подходит для использования в OSS-проектах и прототипах, где образы являются открытыми и доступными для всех. Однако, как только в образах появляется проприетарный код, секреты или лицензированные зависимости, следует перейти на приватный реестр. Для рабочих нагрузок, где важна безопасность, рекомендуется использовать такие приватные реестры, как Harbor (самостоятельно размещаемый, бесплатный), AWS ECR, Google Artifact Registry, GitHub Container Registry (ghcr.io) или Yandex Container Registry. Эти реестры обеспечивают более высокий уровень безопасности и контроля над образами.

Типичные ошибки

Одной из главных ловушек Docker Hub является ограничение на количество анонимных запросов pull (100 за Yöntem 6 часов на IP). Это особенно критично для CI/CD систем, где часто требуется загрузка большого числа образов. Чтобы обойти это ограничение, можно использовать команду docker login, которая увеличивает лимит до 200 запросов за 6 часов на IP. Другой распространённой ошибкой является отправка образов с встроенными секретами. Такие секреты могут быть обнаружены через недели или даже месяцы после отправки образа. История образа сохраняется навсегда, что делает обнаружение секретов практически неизбежным. Кроме того, на самостийных реестрах отсутствует автоматическая система управления мусором (garbage collection), что может привести к бесконтрольному росту хранилища. Наконец, использование тега :latest без подтверждения происхождения (provenance) может привести к проблемам безопасности, так как это может привести к загрузке устаревших или неавторизованных версий образа.

Связанные понятия

• Регистры и распространение
• docker push & docker pull
• Частный регистр & GHCR
• Теги, версионирование & SemVer