Регистры и распространение
Тема дорожной карты · Docker & Containers
Registry — это хранилище Docker-образов с HTTP API по спецификации OCI/Docker Distribution для push и pull. Можно пользоваться публичным (Docker Hub, GHCR, Quay) или поднять свой на основе open-source образа registry:2 за TLS и аутентификацией. Частые ошибки: insecure-registry требует явной настройки daemon.json; после удаления тегов диск освобождается только запуском garbage collection; лимиты и токены отличаются у каждого провайдера. Продвинутые темы: pull-through cache, зеркалирование registry и подпись образов через cosign или notation.
Как это работает
Регистры и распространение хранит и раздаёт образы. Docker Hub — дефолтный публичный registry; приватные альтернативы — Harbor (self-hosted, бесплатный), AWS ECR, Google Artifact Registry, GitHub Container Registry (ghcr.io), Yandex Container Registry. Один "registry" хостит много репозиториев; репозиторий держит много тегов + digest для одного логического образа. docker login, docker tag repo/image:tag, docker push — трио для загрузки.
Когда применять
Docker Hub — для OSS-проектов и прототипов; переходите на приватный registry, как только в образах есть проприетарный код, секреты или лицензированные зависимости. Для RF-инфраструктуры практичен Yandex CR + Harbor (rate-лимиты Hub + санкционные риски делают публичный поганым дефолтом). Подписывайте образы через cosign или Notary, когда supply chain важен. Сканирование уязвимостей (Trivy, Grype) — в CI-шаге, который пушит образ.
Типичные ошибки
Ловушки Регистры и распространение: rate-лимиты anonymous Docker Hub в CI (100 pulls/6h на IP — легко превышаются busy-раннером — логиньтесь или используйте mirror); пуш образов с запечёнными секретами и обнаружение через недели (history образа — навсегда); нет garbage collection на self-hosted registry (storage растёт без границ); вера :latest без provenance (подписывайте + проверяйте или pull по digest).