Зеркало Docker Hub отвалилось посреди деплоя — чем тащите образы в 2026?

[norym]

Утро началось бодро: CI на самохостнутом гитлабе падает на docker pull python:3.13-slim с ошибкой toomanyrequests, а зеркало, которое выручало нас с 2024 года, третий день отдаёт 502. Нас шесть разработчиков, в проде десятка три образов, кубернетеса нет — docker compose на трёх виртуалках.

Поднимать Harbor ради прокси-кэша — не из пушки ли по воробьям? Или все уже смирились и держат свой registry? Расскажите, какая связка у вас сейчас реально работает, а то ощущение, что схему приходится пересобирать каждые полгода.

[sergeyserov]

Harbor — это не из пушки, это ровно по воробьям. Поднял 2.13 на отдельной виртуалке (4 ГБ памяти хватает с запасом) год назад, полёт нормальный.

Схема такая: создаёте проект типа proxy cache, указываете апстримом Docker Hub, и дальше все пуллы идут через него. Первый pull медленный, дальше всё из кэша. Retention поставил 30 дней с момента последнего обращения, garbage collection по воскресеньям ночью — диска в 200 ГБ хватает на наши ~150 образов с тегами.

Грабли, на которые наступите:
— для официальных образов в пути обязателен library, то есть pull выглядит как наш-харбор/dockerhub/library/python:3.13-slim, народ постоянно про это забывает;
— сам Harbor должен как-то дотягиваться до Hub, у нас он ходит через дешёвый зарубежный VPS, настроенный как http-proxy только для этой виртуалки;
— в containerd зеркала прописываются не как в докере, а через hosts.toml на каждом хосте, мы держим это в ansible-роли.

Зато CI больше не зависит от настроения внешних зеркал вообще.

[depechie]

Мы пошли проще: раз в неделю по крону crane copy синкает десяток базовых образов в Yandex Container Registry, и все Dockerfile начинаются с FROM с адресом нашего реестра. Хранение копеечное — за наши 25 ГБ выходит меньше трёхсот рублей в месяц. Минус один: нужна дисциплина, чтобы никто не протащил FROM напрямую с Hub. Повесили на это проверку в CI, ругается на этапе линта.

[wasm_enjoyer]

Если у кого кластер — посмотрите на spegel. P2P-кэш поверх containerd: образ, который скачала одна нода, остальные тянут уже у неё по внутренней сети. У нас 12 нод на k8s 1.33, внешние pull сократились на порядок. Но первый pull он не решает, так что от зеркала или своего registry всё равно не уйти — это дополнение, а не замена.

[clickhousefan]

Скажу непопулярное: любое зеркало — та же зависимость от чужой инфраструктуры, только сбоку. Мы в 2025-м приняли волевое решение и завендорили вообще всё: свой registry, базовые образы пересобираем из debian-slim раз в месяц собственным пайплайном, со сканом уязвимостей и SBOM. Да, это пара дней на настройку и полдня в месяц на сопровождение. Зато когда очередное зеркало умирает, мы узнаём об этом из таких тем на форуме, а не из алертов в три ночи.

[lost300z]

Напомню для контекста: Docker ещё весной 2025-го хотел урезать анонимные пуллы до десяти в час, потом под давлением сообщества откатил, но направление мысли понятно. Как минимум авторизуйтесь токеном даже на бесплатном тарифе — лимит сразу заметно выше, многим этого хватает за глаза.