我来一步步帮你搞定这几个问题——不管是从私有仓库拉取镜像，配置Docker Hub的私有镜像权限，还是同时从两个不同私有仓库拉取镜像，docker-compose都能轻松实现，下面是具体操作：

1. 基础：从私有仓库拉取镜像 #

首先，你需要确保Docker已经登录过目标私有仓库（如果还没登录，执行docker login your-private-registry.com:port，输入用户名和密码即可）。之后在docker-compose.yml里，直接指定完整的私有仓库镜像地址就行，格式是[仓库地址]/[镜像名]:[标签]。

举个例子：

version: '3.8'
services:
  my-service:
    image: my-private-registry.com:5000/my-custom-image:latest
    # 其他服务配置...

如果你的私有仓库用的是自签名SSL证书，记得先在Docker里配置信任这个仓库，不然会拉取失败。

2. 配置Docker Hub私有镜像的凭证 #

Docker Hub的私有镜像其实和私有仓库逻辑类似，只是仓库地址默认是docker.io（可以省略不写）。

方法一：本地提前登录（最常用） #

直接在终端执行docker login，输入你的Docker Hub用户名和密码，登录成功后，Docker会把凭证存在~/.docker/config.json里，docker-compose会自动读取这个文件的凭证，拉取私有镜像时就不用额外配置了：

version: '3.8'
services:
  hub-private-service:
    image: your-dockerhub-username/private-hub-image:latest
    # 其他配置...

方法二：用secrets安全存储凭证（适合CI/CD或多人协作场景） #

如果不想依赖本地的登录状态，或者要在自动化环境中使用，可以用Docker的secrets功能来挂载凭证文件，避免明文暴露密码：

1. 先把Docker Hub的凭证写成一个config.json文件（格式和~/.docker/config.json一致）：

{
  "auths": {
    "https://index.docker.io/v1/": {
      "auth": "base64编码的用户名:密码"
    }
  }
}

提示：你可以通过echo -n "username:password" | base64生成对应的base64字符串。

2. 在docker-compose.yml里引用这个secret：

version: '3.8'
secrets:
  dockerhub_auth:
    file: ./config.json

services:
  hub-private-service:
    image: your-dockerhub-username/private-hub-image:latest
    secrets:
      - source: dockerhub_auth
        target: /root/.docker/config.json
    # 其他配置...

3. 同时从两个不同私有仓库拉取镜像 #

这个更简单，只要分别给每个镜像指定对应的完整仓库地址，并且确保Docker已经登录了这两个仓库（或者为每个仓库配置好凭证）就行。

举个完整的例子：假设一个镜像来自registry-a.com，另一个来自registry-b.com，docker-compose.yml可以这么写：

version: '3.8'
services:
  service-from-registry-a:
    image: registry-a.com:5000/app-image-a:v1.0
    # 服务A的其他配置...

  service-from-registry-b:
    image: registry-b.com:8080/db-image-b:latest
    # 服务B的其他配置...

只要你之前分别执行过docker login registry-a.com:5000和docker login registry-b.com:8080，docker-compose就会自动用对应的凭证拉取这两个镜像。如果是用secrets的方式，只要在config.json里同时添加两个仓库的auth信息就行，然后挂载给所有需要的服务。

注意事项 #

• 永远不要把密码明文写在docker-compose.yml里，用secrets或者环境变量（环境变量可以用DOCKER_USERNAME和DOCKER_PASSWORD，但还是secrets更安全）。
• 如果私有仓库没有配置SSL，需要在Docker的daemon配置里添加insecure-registries，允许非HTTPS的仓库访问。

内容的提问来源于stack exchange，提问作者ranjitha rao