通过使用容器镜像服务企业版实例推送和拉取镜像,您可以更好地管理和存储容器镜像,方便地在不同的环境中部署和使用这些镜像。有助于提高开发和部署过程的效率,并确保容器镜像的一致性和可靠性。
前提条件
已注册阿里云账号。具体操作,请参见注册和登录阿里云账号。
已安装Docker。具体操作,请参见安装Docker。
已开通容器镜像服务企业版所依赖的云产品OSS。具体操作,请参见开通OSS服务。
步骤一:创建企业版实例
登录容器镜像服务控制台。
在顶部菜单栏,选择所需地域。
在左侧导航栏,选择实例列表。
在实例列表页面,单击创建企业版实例。
在创建企业版实例页面,完成基本信息的配置,然后单击立即购买。
参数
说明
地域
选择企业版实例所在的地域。
实例规格
选择实例规格。更多信息,请参见什么是容器镜像服务ACR。
实例名称
输入实例名称。
实例存储
支持默认和自定义。
默认:默认将在您账号下创建OSS Bucket托管容器镜像。
自定义:可自定义选择已有OSS Bucket托管容器镜像。
选择Bucket
选择已有Bucket托管容器镜像。
说明仅设置实例存储为自定义时,需要设置该项。
安全扫描
提供镜像安全扫描功能,支持选择以下两种安全扫描引擎:
Trivy扫描引擎:开源扫描引擎,支持检测系统漏洞和应用漏洞,但不支持一键修复系统漏洞功能。
云安全扫描引擎:阿里云自研的扫描引擎,支持检测系统漏洞、应用漏洞、基线检查和恶意样本,支持一键修复系统漏洞功能。
仓库配额
基础版默认仓库配额为1000,标准版为3000,高级版为5000,您可以在这里按需额外增加仓库配额。
命名空间配额
基础版默认命名空间配额为15,标准版为25,高级版为50,您可以在这里按需额外增加命名空间配额。
VPC访问控制配额
当您的服务需要通过VPC专有网络拉取镜像时,企业版实例需要单独购买VPC访问控制配额进行配置。详情请参见计费说明。
购买时长
目前支持选择1、2、3、6个月和1~5年。
说明您还可以设置是否到期自动续费。
资源组
选择已有资源组。您也可以单击去创建,在资源管理控制台创建资源组。
在确认订单页面确认并选中我已阅读并同意容器镜像服务服务协议,单击去支付。
在支付页面底部查看实例的总费用,如无疑问,根据提示完成支付。
在实例列表页面新建实例的运行状态为启动中。大约2到3分钟后,状态会变为运行中。
步骤二:获取镜像仓库的登录名
如果您使用的是阿里云账号,阿里云账号就是您的镜像仓库登录名。
如果您使用的是RAM用户,去掉RAM用户账号.onaliyun.com后的名称就是您的镜像仓库登录名。例如您的RAM用户为123@123456781011****.onaliyun.com,则您的镜像仓库登录名为123@123456781011****。
步骤三:设置镜像仓库登录密码
如果您想要通过固定凭证上传下载镜像,您可以配置访问凭证。具体操作,请参见配置访问凭证。
步骤四:创建命名空间
登录容器镜像服务控制台。
在顶部菜单栏,选择所需地域。
在左侧导航栏,选择实例列表。
在实例列表页面单击目标企业版实例。
在企业版实例管理页面选择。
在命名空间页面单击创建命名空间。
在创建命名空间对话框中设置命名空间名称、是否自动创建仓库、默认仓库类型。单击确定。
步骤五:创建镜像仓库
登录容器镜像服务控制台。
在顶部菜单栏,选择所需地域。
在左侧导航栏,选择实例列表。
在实例列表页面单击目标企业版实例。
在企业版实例管理页面选择。
在镜像仓库页面单击创建镜像仓库。
在仓库信息配置向导中设置命名空间、仓库名称、仓库类型、镜像版本、镜像加速、摘要、描述信息,单击下一步。
在代码源配置向导中设置代码源、构建设置、构建规则设置,单击创建镜像仓库。
参数
说明
代码源
选择代码源。
构建设置
代码变更自动构建镜像:当分支有代码提交后会自动触发构建规则。
海外源智能加速:构建时会在海外机房构建,构建成功后推送到指定地域。
不使用缓存:每次构建时会强制重新拉取基础依赖镜像,可能会增加构建时间。
构建规则设置
请在仓库创建完成后,前往构建页面设置。具体操作,请参见构建仓库与镜像。
步骤六:配置访问控制
如果您的Docker客户端使用的是专有网络,需要为企业版实例配置专有网络访问控制,才能连接到企业版实例。具体操作,请参见配置专有网络的访问控制。
如果您的Docker客户端使用的是公网,需要为企业版实例配置公网访问控制,才能连接到企业版实例。本文以配置公网访问控制为例。
登录容器镜像服务控制台。
在顶部菜单栏,选择所需地域。
在左侧导航栏,选择实例列表。
在实例列表页面单击目标企业版实例。
在企业版实例管理页面左侧导航栏选择。
在访问控制页面单击公网,打开访问入口开关,然后单击添加公网白名单。
在添加公网白名单对话框中,输入Docker客户端所在主机的地址段和备注信息,单击确定。
完成添加之后,该白名单所在网段的Docker客户端即可正常访问企业版实例。
重要如果您希望所有公网下的Docker客户端均可以访问企业版实例,需要开启公网访问入口并删除所有公网白名单。请注意完全暴露在公网的企业版实例存在被攻击的风险,请谨慎操作。
步骤七:推送拉取镜像
以下命令行操作需要在Docker客户端进行,请提前安装和配置Docker客户端。
执行以下命令,登录镜像仓库。
说明如果您推送和拉取的是公开镜像仓库,您可以在容器镜像控制台概览页面打开公开匿名拉取开关,然后您可以免登录匿名拉取公开镜像仓库。
docker login --username=<镜像仓库登录名> <企业版实例名称>-registry.<企业版实例所在的地域>.cr.aliyuncs.com示例:
docker login --username=123@1234567810111213 m**-registry.cn-hangzhou.cr.aliyuncs.com在返回结果中输入步骤三:设置镜像仓库登录密码中设置的密码,然后显示
login succeeded,表示登录成功。推送镜像。
执行以下命令,给镜像打标签。
docker tag <镜像ID> <企业版实例名称>-registry.<企业版实例所在的地域>.cr.aliyuncs.com/<命名空间的名称>/<镜像仓库的名称>:<镜像版本号>示例:
docker tag Digest m**-registry.cn-hangzhou.cr.aliyuncs.com/m**/test:latest执行以下命令,推送镜像至企业版实例。
docker push <企业版实例名称>-registry.<企业版实例所在的地域>.cr.aliyuncs.com/<命名空间的名称>/<镜像仓库的名称>:<镜像版本号>示例:
docker push m**-registry.cn-hangzhou.cr.aliyuncs.com/m**/test:latest在镜像仓库页面单击目标镜像仓库名称,选择镜像版本,在镜像版本页面可以看到推送的镜像,说明推送镜像成功。
执行以下命令,拉取镜像。
docker pull <企业版实例名称>-registry.<企业版实例所在的地域>.cr.aliyuncs.com/<命名空间的名称>/<镜像仓库的名称>:<镜像版本号>示例:
docker pull m**-registry.cn-hangzhou.cr.aliyuncs.com/m**/test:latest执行
docker images,在返回结果中可以看到拉取的镜像,说明拉取镜像成功。