nixos/modules/services/misc/docker-registry.nix

   1 { config, lib, pkgs, ... }:
   2 let
   3   cfg = config.services.dockerRegistry;
   4
   5   blobCache = if cfg.enableRedisCache
   6     then "redis"
   7     else "inmemory";
   8
   9   registryConfig = {
  10     version =  "0.1";
  11     log.fields.service = "registry";
  12     storage = {
  13       cache.blobdescriptor = blobCache;
  14       delete.enabled = cfg.enableDelete;
  15     } // (lib.optionalAttrs (cfg.storagePath != null) { filesystem.rootdirectory = cfg.storagePath; });
  16     http = {
  17       addr = "${cfg.listenAddress}:${builtins.toString cfg.port}";
  18       headers.X-Content-Type-Options = ["nosniff"];
  19     };
  20     health.storagedriver = {
  21       enabled = true;
  22       interval = "10s";
  23       threshold = 3;
  24     };
  25   };
  26
  27   registryConfig.redis = lib.mkIf cfg.enableRedisCache {
  28     addr = "${cfg.redisUrl}";
  29     password = "${cfg.redisPassword}";
  30     db = 0;
  31     dialtimeout = "10ms";
  32     readtimeout = "10ms";
  33     writetimeout = "10ms";
  34     pool = {
  35       maxidle = 16;
  36       maxactive = 64;
  37       idletimeout = "300s";
  38     };
  39   };
  40
  41   configFile = cfg.configFile;
  42 in {
  43   options.services.dockerRegistry = {
  44     enable = lib.mkEnableOption "Docker Registry";
  45
  46     package = lib.mkPackageOption pkgs "docker-distribution" {
  47       example = "gitlab-container-registry";
  48     };
  49
  50     listenAddress = lib.mkOption {
  51       description = "Docker registry host or ip to bind to.";
  52       default = "127.0.0.1";
  53       type = lib.types.str;
  54     };
  55
  56     port = lib.mkOption {
  57       description = "Docker registry port to bind to.";
  58       default = 5000;
  59       type = lib.types.port;
  60     };
  61
  62     openFirewall = lib.mkOption {
  63       type = lib.types.bool;
  64       default = false;
  65       description = "Opens the port used by the firewall.";
  66     };
  67
  68     storagePath = lib.mkOption {
  69       type = lib.types.nullOr lib.types.path;
  70       default = "/var/lib/docker-registry";
  71       description = ''
  72         Docker registry storage path for the filesystem storage backend. Set to
  73         null to configure another backend via extraConfig.
  74       '';
  75     };
  76
  77     enableDelete = lib.mkOption {
  78       type = lib.types.bool;
  79       default = false;
  80       description = "Enable delete for manifests and blobs.";
  81     };
  82
  83     enableRedisCache = lib.mkEnableOption "redis as blob cache";
  84
  85     redisUrl = lib.mkOption {
  86       type = lib.types.str;
  87       default = "localhost:6379";
  88       description = "Set redis host and port.";
  89     };
  90
  91     redisPassword = lib.mkOption {
  92       type = lib.types.str;
  93       default = "";
  94       description = "Set redis password.";
  95     };
  96
  97     extraConfig = lib.mkOption {
  98       description = ''
  99         Docker extra registry configuration.
 100       '';
 101       example = lib.literalExpression ''
 102         {
 103           log.level = "debug";
 104         }
 105       '';
 106       default = {};
 107       type = lib.types.attrs;
 108     };
 109
 110     configFile = lib.mkOption {
 111       default = pkgs.writeText "docker-registry-config.yml" (builtins.toJSON (lib.recursiveUpdate registryConfig cfg.extraConfig));
 112       defaultText = lib.literalExpression ''pkgs.writeText "docker-registry-config.yml" "# my custom docker-registry-config.yml ..."'';
 113       description = ''
 114        Path to CNCF distribution config file.
 115
 116        Setting this option will override any configuration applied by the extraConfig option.
 117       '';
 118       type =  lib.types.path;
 119     };
 120
 121     enableGarbageCollect = lib.mkEnableOption "garbage collect";
 122
 123     garbageCollectDates = lib.mkOption {
 124       default = "daily";
 125       type = lib.types.str;
 126       description = ''
 127         Specification (in the format described by
 128         {manpage}`systemd.time(7)`) of the time at
 129         which the garbage collect will occur.
 130       '';
 131     };
 132   };
 133
 134   config = lib.mkIf cfg.enable {
 135     systemd.services.docker-registry = {
 136       description = "Docker Container Registry";
 137       wantedBy = [ "multi-user.target" ];
 138       after = [ "network.target" ];
 139       script = ''
 140         ${cfg.package}/bin/registry serve ${configFile}
 141       '';
 142
 143       serviceConfig = {
 144         User = "docker-registry";
 145         WorkingDirectory = cfg.storagePath;
 146         AmbientCapabilities = lib.mkIf (cfg.port < 1024) "cap_net_bind_service";
 147       };
 148     };
 149
 150     systemd.services.docker-registry-garbage-collect = {
 151       description = "Run Garbage Collection for docker registry";
 152
 153       restartIfChanged = false;
 154       unitConfig.X-StopOnRemoval = false;
 155
 156       serviceConfig.Type = "oneshot";
 157
 158       script = ''
 159         ${cfg.package}/bin/registry garbage-collect ${configFile}
 160         /run/current-system/systemd/bin/systemctl restart docker-registry.service
 161       '';
 162
 163       startAt = lib.optional cfg.enableGarbageCollect cfg.garbageCollectDates;
 164     };
 165
 166     users.users.docker-registry =
 167       (lib.optionalAttrs (cfg.storagePath != null) {
 168         createHome = true;
 169         home = cfg.storagePath;
 170       }) // {
 171         group = "docker-registry";
 172         isSystemUser = true;
 173       };
 174     users.groups.docker-registry = {};
 175
 176     networking.firewall = lib.mkIf cfg.openFirewall {
 177       allowedTCPPorts = [ cfg.port ];
 178     };
 179   };
 180 }