Связаться с намиПопробовать бесплатно

Запуск Docker-образа на виртуальной машине с помощью Yandex Cloud Registry

Статья создана
Улучшена
Обновлена 19 декабря 2025 г.

В этом руководстве вы развернете Docker-образ из реестра Yandex Cloud Registry и запустите контейнер на виртуальной машине Yandex Compute Cloud.

Чтобы запустить Docker-образ на виртуальной машине:

  1. Подготовьте облако к работе.
  2. Создайте реестр Cloud Registry.
  3. Создайте сервисный аккаунт.
  4. Создайте авторизованный ключ сервисного аккаунта.
  5. Создайте облачную сеть и подсеть.
  6. Создайте ВМ.
  7. Соберите Docker-образ и загрузите в Cloud Registry.
  8. Загрузите Docker-образ на ВМ.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость ресурсов для запуска Docker-образа входят:

Создайте пару ключей SSH

Подготовьте SSH-ключ для доступа к ВМ.

  1. Откройте терминал.

  2. Создайте новый ключ с помощью команды ssh-keygen:

    ssh-keygen -t ed25519 -C "<опциональный_комментарий>"

    Вы можете передать в параметре -C пустую строку, чтобы не добавлять комментарий, или не указывать параметр -C вообще — в таком случае будет добавлен комментарий по умолчанию.

    После выполнения команды вам будет предложено указать имя и путь к файлам с ключами, а также ввести пароль для закрытого ключа. Если задать только имя, пара ключей будет создана в текущей директории. Открытый ключ будет сохранен в файле с расширением .pub, закрытый ключ — в файле без расширения.

    По умолчанию команда предлагает сохранить ключ под именем id_ed25519 в директории /home/<имя_пользователя>/.ssh. Если в этой директории уже есть SSH-ключ с именем id_ed25519, вы можете случайно перезаписать его и потерять доступ к ресурсам, в которых он используется. Поэтому рекомендуется использовать уникальные имена для всех SSH-ключей.

Если у вас еще не установлен OpenSSH, установите его по инструкции.

  1. Запустите cmd.exe или powershell.exe (предварительно обновите PowerShell).

  2. Создайте новый ключ с помощью команды ssh-keygen:

    ssh-keygen -t ed25519 -C "<опциональный_комментарий>"

    Вы можете передать в параметре -C пустую строку, чтобы не добавлять комментарий, или не указывать параметр -C вообще — в таком случае будет добавлен комментарий по умолчанию.

    После выполнения команды вам будет предложено указать имя и путь к файлам с ключами, а также ввести пароль для закрытого ключа. Если задать только имя, пара ключей будет создана в текущей директории. Открытый ключ будет сохранен в файле с расширением .pub, закрытый ключ — в файле без расширения.

    По умолчанию команда предлагает сохранить ключ под именем id_ed25519 в папку C:\Users\<имя_пользователя>/.ssh. Если в этой директории уже есть SSH-ключ с именем id_ed25519, вы можете случайно перезаписать его и потерять доступ к ресурсам, в которых он используется. Поэтому рекомендуется использовать уникальные имена для всех SSH-ключей.

Создайте ключи с помощью приложения PuTTY:

  1. Скачайте и установите PuTTY.

  2. Добавьте папку с PuTTY в переменную PATH:

    1. Нажмите кнопку Пуск и в строке поиска Windows введите Изменение системных переменных среды.
    2. Справа снизу нажмите кнопку Переменные среды....
    3. В открывшемся окне найдите параметр PATH и нажмите Изменить.
    4. Добавьте путь к папке в список.
    5. Нажмите кнопку ОК.

  3. Запустите приложение PuTTYgen.

  4. В качестве типа генерируемой пары выберите EdDSA. Нажмите Generate и поводите курсором в поле выше до тех пор, пока не закончится создание ключа.

    ssh_generate_key

  5. В поле Key passphrase введите надежный пароль. Повторно введите его в поле ниже.

  6. Нажмите кнопку Save private key и сохраните закрытый ключ. Никому не сообщайте ключевую фразу от него.

  7. Нажмите кнопку Save public key и сохраните открытый ключ в файле <имя_ключа>.pub.

Важно

Надежно сохраните закрытый ключ: без него подключиться к ВМ будет невозможно.

Установите и настройте Docker

  1. Установите Docker Engine. Воспользуйтесь инструкцией по установке и запуску Docker для вашей операционной системы.

  2. После завершения установки добавьте текущего пользователя в группу docker:

    sudo groupadd docker
sudo usermod -aG docker $USER
newgrp docker

Чтобы группы успешно обновились, может потребоваться войти в ОС заново или перезагрузить компьютер.

Информацию о дополнительных настройках Docker в OS Linux см. в документации разработчика.

Если вы работаете на компьютере с графическим интерфейсом, вы также можете установить Docker Desktop для Linux.

Скачайте и установите дистрибутив Docker Desktop для macOS. Подробную информацию см. в документации разработчика.

  1. Скачайте и установите дистрибутив Docker Desktop для Windows.

  2. После завершения установки добавьте текущего пользователя в группу docker-users:

    1. От имени администратора откройте оснастку Управление компьютером:

      compmgmt.msc

    2. Раскройте меню Управление компьютером (локальным)Служебные программыЛокальные пользователи и группыГруппы и откройте группу docker-users.

    3. Нажмите кнопку Добавить и добавьте нужного пользователя в группу.

    4. Нажмите ОК.

  3. Запустите Docker Desktop и убедитесь, что статус приложения — running.

Информацию о дополнительных настройках Docker в OS Windows см. в документации разработчика.

Создайте реестр Cloud Registry

Создайте реестр для хранения Docker-образов.

  1. В консоли управления выберите каталог, в котором хотите создать реестр.

  2. Перейдите в сервис Cloud Registry.

  3. Нажмите Создать реестр.

  4. Выберите формат Docker.

  5. Выберите тип реестра Local.

  6. Укажите имя реестра. Требования к имени:

    • длина — от 3 до 62 символов;
    • может содержать строчные буквы латинского алфавита, цифры и дефисы;
    • первый символ — буква, последний — не дефис.

  7. Нажмите Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для создания реестра:

    yc cloud-registry registry create --help

  2. Создайте реестр:

    yc cloud-registry registry create \
  --name docker-ycr \
  --description "Created with CLI" \
  --registry-kind docker \
  --registry-type local

    Результат:

    id: cn191rncdrhd********
folder_id: b1g681qpemb4********
name: docker-ycr
kind: DOCKER
type: LOCAL
status: ACTIVE
description: Created with CLI
created_at: "2025-12-12T04:56:32.681439Z"
modified_at: "2025-12-12T04:56:34.171714Z"

Воспользуйтесь методом REST API create для ресурса Registry или вызовом gRPC API RegistryService/Create.

Создайте сервисный аккаунт

Создайте сервисный аккаунт, от имени которого вы будете скачивать Docker-образ на ВМ. Назначьте ему роль cloud-registry.artifacts.puller на созданный реестр.

  1. Перейдите в сервис Identity and Access Management.
  2. В верхней части экрана перейдите на вкладку Сервисные аккаунты.
  3. Нажмите Создать сервисный аккаунт.
  4. Введите имя сервисного аккаунта docker-puller.
  5. Нажмите Создать.
  6. Перейдите в сервис Cloud Registry.
  7. Выберите ранее созданный реестр.
  8. Перейдите на вкладку Права доступа.
  9. Нажмите Назначить роли.
  10. В открывшемся окне выберите сервисный аккаунт docker-puller.
  11. Нажмите Добавить роль и выберите роль cloud-registry.artifacts.puller.
  12. Нажмите Сохранить.

  1. Создайте сервисный аккаунт:

    yc iam service-account create --name docker-puller

    Результат:

    id: ajelabcde12f********
folder_id: b0g12ga82bcv********
created_at: "2020-11-30T14:32:18.900092Z"
name: docker-puller

  2. Назначьте роль cloud-registry.artifacts.puller сервисному аккаунту:

    yc cloud-registry registry add-access-binding <имя_или_идентификатор_реестра> \
  --role cloud-registry.artifacts.puller \
  --subject serviceAccount:<идентификатор_сервисного_аккаунта>

    Где --subject — идентификатор сервисного аккаунта docker-puller.

    Результат:

    ...1s...done (5s)
  1. Чтобы создать сервисный аккаунт, воспользуйтесь методом REST API create для ресурса ServiceAccount.
  2. Чтобы назначить роль сервисному аккаунту на реестр, воспользуйтесь методом REST API updateAccessBindings для ресурса Registry.

Создайте авторизованный ключ сервисного аккаунта

Создайте авторизованный ключ для сервисного аккаунта docker-puller. Авторизованный ключ позволит сервисному аккаунту получать IAM-токен для аутентификации в API Yandex Cloud.

  1. Перейдите в сервис Identity and Access Management.
  2. В открывшемся списке выберите сервисный аккаунт docker-puller.
  3. На панели сверху нажмите Создать новый ключ и выберите Создать авторизованный ключ.
  4. Нажмите Создать.
  5. В открывшемся окне нажмите Скачать файл с ключами и нажмите Закрыть.

В результате на ваш компьютер скачается файл authorized_key.json, содержащий авторизованный ключ. Ключ понадобится позднее для настройки Docker на ВМ.

Выполните команду:

yc iam key create \
  --service-account-name docker-puller \
  -o authorized_key.json

Результат:

id: ajetn5b1efv2********
service_account_id: ajefbp899mcl********
created_at: "2025-12-17T04:57:16.241850455Z"
key_algorithm: RSA_2048

В результате на ваш компьютер скачается файл authorized_key.json, содержащий авторизованный ключ. Ключ понадобится позднее для настройки Docker на ВМ.

Воспользуйтесь методом REST API create для ресурса Key или вызовом gRPC API KeyService/Create.

Создайте облачную сеть и подсеть

Создайте облачную сеть и подсеть, в которой будет расположена ВМ.

  1. Перейдите в сервис Virtual Private Cloud.
  2. Нажмите Создать сеть.
  3. В поле Имя укажите docker-ycr-network.
  4. В поле Дополнительно отключите опцию Создать подсети.
  5. Нажмите Создать сеть.
  6. Выберите созданную сеть docker-ycr-network.
  7. Справа вверху нажмите Создать подсеть.
  8. В поле Имя укажите docker-ycr-subnet-ru-central1-b.
  9. В поле Зона доступности выберите зону доступности ru-central1-b.
  10. В поле CIDR укажите 192.168.1.0/24.
  11. Нажмите Создать подсеть.

  1. Создайте облачную сеть docker-ycr-network:

    yc vpc network create docker-ycr-network

    Результат:

    id: enp1gg8kr3pv********
folder_id: b1gt6g8ht345********
created_at: "2023-12-20T20:08:11Z"
name: docker-ycr-network
default_security_group_id: enppne4l2eg5********

    Подробнее о команде yc vpc network create читайте в справочнике CLI.

  2. Создайте подсеть в зоне доступности ru-central1-b:

    yc vpc subnet create docker-ycr-subnet-ru-central1-b \
  --zone ru-central1-b \
  --network-name docker-ycr-network \
  --range 192.168.1.0/24

    Результат:

    id: e2li9tcgi7ii********
folder_id: b1gt6g8ht345********
created_at: "2023-12-20T20:11:16Z"
name: docker-ycr-subnet-ru-central1-b
network_id: enp1gg8kr3pv********
zone_id: ru-central1-b
v4_cidr_blocks:
  - 192.168.1.0/24

    Подробнее о команде yc vpc subnet create читайте в справочнике CLI.

  1. Чтобы создать облачную сеть, воспользуйтесь методом REST API create или вызовом gRPC API NetworkService/Create.
  2. Чтобы создать подсеть, воспользуйтесь методом REST API create или вызовом gRPC API SubnetService/Create.

Создайте ВМ

Создайте ВМ с публичным IP-адресом и привяжите к ней созданный сервисный аккаунт.

  1. Перейдите в сервис Compute Cloud.

  2. Нажмите Создать виртуальную машину.

  3. В блоке Образ загрузочного диска выберите один из образов и версию операционной системы на базе Linux.

  4. В блоке Расположение выберите зону доступности, в которой будет создана ВМ.

  5. В блоке Сетевые настройки:

    • В поле Подсеть выберите ранее созданные сеть и подсеть.
    • В поле Публичный IP-адрес оставьте значение Автоматически, чтобы назначить ВМ случайный внешний IP-адрес из пула Yandex Cloud.

  6. В блоке Доступ укажите данные для доступа на ВМ:

    • В поле Логин введите имя пользователя.
    • В поле SSH-ключ вставьте содержимое файла открытого ключа.

  7. В блоке Общая информация задайте имя ВМ: docker-vm.

  8. В блоке Дополнительно выберите созданный сервисный аккаунт docker-puller.

  9. Нажмите Создать ВМ.

Создайте ВМ в каталоге по умолчанию:

yc compute instance create \
  --name docker-vm \
  --zone ru-central1-b \
  --network-interface subnet-name=docker-ycr-subnet-ru-central1-b,nat-ip-version=ipv4 \
  --create-boot-disk image-folder-id=standard-images,image-family=ubuntu-2004-lts \
  --ssh-key <путь_к_файлу_открытого_SSH-ключа> \
  --service-account-name docker-puller

Где:

  • --name — имя ВМ.
  • --zone — зона доступности, которая соответствует подсети.
  • subnet-name — имя ранее созданной подсети.
  • image-familyсемейство образов.
  • --ssh-key — путь до публичного SSH-ключа.
  • --service-account-name — имя сервисного аккаунта.

Результат:

id: epd6kj8giu79********
folder_id: b1g681qpemb4********
created_at: "2025-12-12T16:14:50Z"
name: docker-vm
zone_id: ru-central1-b
platform_id: standard-v2
resources:
  memory: "2147483648"
  cores: "2"
  core_fraction: "100"
status: RUNNING
metadata_options:
  gce_http_endpoint: ENABLED
  aws_v1_http_endpoint: ENABLED
  gce_http_token: ENABLED
  aws_v1_http_token: DISABLED
boot_disk:
  mode: READ_WRITE
  device_name: epdvqn83lud9********
  auto_delete: true
  disk_id: epdvqn83lud9********
network_interfaces:
  - index: "0"
    mac_address: d0:0d:**:**:**:**
    subnet_id: e2l8hdblgki4********
    primary_v4_address:
      address: 192.168.1.7
      one_to_one_nat:
        address: 158.***.**.***
        ip_version: IPV4
serial_port_settings:
  ssh_authorization: OS_LOGIN
gpu_settings: {}
fqdn: epd6kj8giu79********.auto.internal
scheduling_policy: {}
service_account_id: ajes3g9rg94s********
network_settings:
  type: STANDARD
placement_policy: {}
hardware_generation:
  legacy_features:
    pci_topology: PCI_TOPOLOGY_V2
application: {}

Воспользуйтесь методом REST API Create для ресурса Instance или вызовом gRPC API InstanceService/Create.

Соберите Docker-образ и загрузите в Cloud Registry

Соберите Docker-образ и загрузите его в реестр.

  1. Аутентифицируйтесь в Cloud Registry.

  2. Создайте файл Dockerfile:

    echo "FROM ubuntu:latest" > Dockerfile
echo "CMD echo 'Hello World'" >> Dockerfile

  3. Соберите Docker-образ:

    docker build . -t registry.yandexcloud.net/<идентификатор_реестра>/ubuntu:hello

    Где <идентификатор_реестра> — идентификатор созданного ранее реестра.

    Результат:

    ...
Successfully built db45********
Successfully tagged registry.yandexcloud.net/cn1k31pgpovl********/ubuntu:hello

  4. Загрузите Docker-образ в реестр:

    docker push registry.yandexcloud.net/<идентификатор_реестра>/ubuntu:hello

    Результат:

    e8bc********: Pushed 
hello: digest: sha256:96d... size: 529

Загрузите Docker-образ на ВМ

Настройте окружение на ВМ, скачайте Docker-образ и запустите его.

  1. Подключитесь к ВМ по SSH.

  2. Установите CLI и перезапустите терминал:

    curl -sSL https://storage.yandexcloud.net/yandexcloud-yc/install.sh | bash
exec -l $SHELL

  3. Создайте файл key.json и скопируйте в него содержимое файла авторизованного ключа сервисного аккаунта docker-puller:

    sudo nano key.json

  4. Настройте CLI для сервисного аккаунта:

    yc config profile create docker-puller
yc config set service-account-key key.json
yc config set folder-id <идентификатор_каталога>

    В качестве folder-id укажите идентификатор каталога, в котором находится реестр.

    Результат:

    Profile 'docker-puller' created and activated

  5. Установите Docker:

    sudo apt update
sudo apt install docker.io

  6. Добавьте текущего пользователя в группу docker и отключитесь от ВМ:

    sudo usermod -aG docker $USER
exit

  7. Заново подключитесь к ВМ по SSH.

  8. Настройте Docker:

    mkdir -p ~/.docker
cat > ~/.docker/config.json <<'EOF'
{
  "credHelpers": {
    "registry.yandexcloud.net": "yc"
  }
}
EOF

sudo tee /usr/local/bin/docker-credential-yc >/dev/null <<'EOF'
#!/usr/bin/env bash
exec yc cloud-registry docker-credential "$@"
EOF

sudo chmod +x /usr/local/bin/docker-credential-yc

  9. Загрузите Docker-образ на ВМ:

    docker pull registry.yandexcloud.net/<идентификатор_реестра>/ubuntu:hello

    Результат:

    hello: Pulling from cn191rncdrhd********/ubuntu
02de********: Pull complete
Digest: sha256:96d...
Status: Downloaded newer image for registry.yandexcloud.net/cn191rncdrhd********/ubuntu:hello
registry.yandexcloud.net/cn191rncdrhd********/ubuntu:hello

  10. Запустите Docker-образ:

    docker run registry.yandexcloud.net/<идентификатор_реестра>/ubuntu:hello

    Результат:

    Hello World

Как удалить созданные ресурсы

Чтобы не платить за ресурсы, которые вам больше не нужны, удалите их:

  1. Удалите ВМ.
  2. Удалите статический публичный IP-адрес, если вы его зарезервировали.
  3. Удалите сеть и подсети.
  4. Удалите Docker-образ из реестра.
  5. Удалите реестр.

См. также

Предыдущая
Настройка вывода информации из Docker-контейнера в серийный порт
Следующая
Создание нового Kubernetes-проекта