Docker Hub — официальный публичный реестр Docker-образов. При команде docker pull nginx образ скачивается именно из Docker Hub, если другой реестр не указан явно. Здесь хранятся тысячи официальных образов от вендоров и миллионы образов от сообщества.
Как работает
Docker CLI подключается к Docker Hub по HTTPS при каждой команде pull, push или search. Образы идентифицируются по имени и тегу: nginx:1.25-alpine. Тег latest указывает на последнюю стабильную версию — но его использование в продакшене не рекомендуется, так как latest меняется без предупреждения.
Каждый образ состоит из слоёв файловой системы. Docker кеширует слои локально — повторная загрузка образа с теми же базовыми слоями занимает секунды вместо минут.
Типы образов
- Official Images — поддерживаются Docker Inc. совместно с вендорами. Проходят регулярный аудит безопасности. Примеры:
nginx,postgres,node,python,redis. - Verified Publisher — образы от коммерческих компаний с подтверждённой идентификацией: Elastic, MongoDB, HashiCorp.
- Community — образы от частных пользователей. Именуются
username/imagename. Используйте с осторожностью — без гарантий безопасности.
История
Docker Hub запущен в 2013 году одновременно с открытием Docker. Быстро стал крупнейшим реестром контейнерных образов — к 2024 году хранит более 8 миллионов репозиториев и обслуживает миллиарды загрузок ежегодно. В 2020 году введены лимиты анонимных загрузок (100 pull/6ч), что подтолкнуло команды к развёртыванию собственных реестров.
Работа с реестром
# Поиск образа
docker search nginx
# Загрузка конкретной версии
docker pull nginx:1.25-alpine
# Авторизация
docker login
# Публикация образа
docker tag myapp:latest myuser/myapp:1.0
docker push myuser/myapp:1.0
# Просмотр локальных образов
docker imagesАльтернативы и приватные реестры
Команды, работающие с чувствительными приложениями, разворачивают собственные реестры. GitLab Container Registry встроен в GitLab и интегрируется с CI/CD пайплайнами. Harbor — open-source реестр с RBAC, сканированием уязвимостей и репликацией между кластерами Kubernetes. AWS ECR, Google Artifact Registry и Yandex Container Registry — управляемые реестры в соответствующих облаках.
containerd и другие OCI-совместимые рантаймы работают с любым реестром, поддерживающим Docker Registry API v2 — не только с Docker Hub.
На что обращать внимание
Лимиты pull для анонимных пользователей (100 в 6 часов) и авторизованных бесплатных аккаунтов (200 в 6 часов) могут блокировать CI/CD конвейеры. Решение: авторизоваться в Docker Hub в pipeline или использовать локальный кеш образов. Образы из реестра сообщества могут содержать уязвимости — всегда проверяйте дату последнего обновления и количество загрузок перед использованием в продакшене.
Для CI/CD пайплайнов рекомендуется авторизоваться в Docker Hub через секрет с токеном доступа (не паролем): docker login -u username --password-stdin. Персональные access tokens отзываются без смены пароля аккаунта. Образы для продакшена тегируйте явно: myapp:1.2.3 вместо latest — так containerd и Kubernetes получат ровно тот образ, который был протестирован.