Konfigurasikan kredensial akses untuk instance Container Registry pada klien seperti Docker dan containerd - Container Registry

Untuk memastikan Anda dapat mengakses dan mengelola gambar kontainer dengan aman, Container Registry menyediakan otentikasi identitas untuk logon instance dari klien seperti Docker dan containerd. Setelah berhasil melakukan otentikasi, Anda dapat mendorong (push) dan menarik (pull) gambar kontainer atau Helm chart di klien tersebut.

Informasi Latar Belakang

Kredensial akses digunakan untuk otentikasi berbasis kebijakan RAM pada klien seperti Docker dan containerd. Untuk informasi lebih lanjut, lihat aturan otentikasi RAM. Setelah otentikasi berhasil, Anda dapat mendorong dan menarik gambar kontainer serta Helm chart. Kami merekomendasikan agar Anda mengonfigurasi kata sandi akses untuk instance yang berbeda dari kata sandi yang digunakan untuk masuk ke konsol Container Registry. Hal ini mencegah dampak pada bisnis Anda jika kata sandi pada klien bocor.

Kredensial akses independen dari akun dan kata sandi Alibaba Cloud. Kredensial akses tersedia dalam dua jenis:

Kata sandi: Kata sandi berlaku secara permanen. Simpan dengan aman. Jika Anda lupa kata sandi, Anda dapat menyetel ulang.
Token sementara: Token sementara berlaku selama satu jam. Jika token sementara diperoleh menggunakan Security Token Service (STS), token sementara akan tetap valid selama token STS valid.

Catatan

Akun Alibaba Cloud dan pengguna RAM memiliki kredensial akses yang independen. Pengguna RAM tidak dapat menggunakan kredensial akses dari akun Alibaba Cloud mereka untuk mengakses instance Container Registry Enterprise Edition. Pengguna RAM harus mengonfigurasi kredensial akses mereka sendiri.

Gunakan kata sandi

Catatan

Jika Anda ingin masuk ke instance Container Registry Enterprise Edition sebagai Peran RAM, Anda tidak dapat menggunakan kata sandi dan harus menggunakan token sementara.

Prosedur

Masuk ke konsol Container Registry.
Di bilah navigasi atas, pilih wilayah.
Di panel navigasi sisi kiri, klik Instances.
Pada halaman Instances, klik instance Enterprise Edition yang ingin Anda kelola.
Di panel navigasi sisi kiri halaman manajemen instance Container Registry Enterprise Edition, pilih Instances > Access Credential.
Pada halaman Access Credential, klik Set Password.
Dalam kotak dialog Set Password, masukkan kata sandi untuk parameter Password, dan masukkan kata sandi lagi untuk parameter Confirm Password. Lalu, klik Confirm.

Apa yang harus dilakukan selanjutnya

Masuk ke instance Container Registry Enterprise Edition.

Konfigurasikan kontrol akses melalui Internet atau virtual private clouds (VPC). Untuk informasi lebih lanjut, lihat Konfigurasikan Akses melalui Internet atau Konfigurasikan ACL VPC.

Gunakan kredensial akses untuk masuk ke instance Container Registry Enterprise Edition. Contoh:

docker login <Nama instance Container Registry Enterprise Edition>-registry.<ID Wilayah instance>.cr.aliyuncs.com

Gunakan token sementara

Prasyarat

Alibaba Cloud CLI terinstal dan profil dikonfigurasi untuk pengguna RAM yang ingin Anda gunakan untuk mengakses instance Container Registry Enterprise Edition. Untuk informasi lebih lanjut, lihat Installation Guide dan Konfigurasikan Profil.
jq terinstal. Untuk informasi lebih lanjut, lihat jq.
Pengguna RAM telah dibuat. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

Catatan

Anda juga dapat memanggil operasi API GetAuthorizationToken di OpenAPI Explorer untuk mendapatkan akun sementara dan token yang dapat Anda gunakan untuk masuk ke instance Container Registry Enterprise Edition.

Prosedur

Peroleh informasi tentang pasangan AccessKey pengguna RAM. Untuk informasi lebih lanjut, lihat Lihat Informasi tentang Pasangan AccessKey Pengguna RAM.

Buat kebijakan kustom dalam mode JSON dan lampirkan kebijakan tersebut ke pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom di Tab JSON dan Berikan Izin kepada Pengguna RAM.

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cr:GetAuthorizationToken",
                "cr:PullRepository",
                "cr:PushRepository"
            ],
            "Resource": "*"
        }
    ]
}

Jalankan perintah berikut untuk mendapatkan token sementara.

Catatan

<acr service endpoint> dalamACR_ENDPOINT="<acr service endpoint>" adalah titik akhir di wilayah tempat instance Enterprise Edition berada. Untuk informasi lebih lanjut, lihat Titik Akhir.

export ALIYUN_AK="<aliyun access key>"               # ID AccessKey yang Anda peroleh di langkah 1.
export ALIYUN_SK="<aliyun access key secret >"       # Rahasia AccessKey yang Anda peroleh di langkah 1.
export ACR_INSTANCE_ID="<id of acr instance >"       # ID instance Container Registry Enterprise Edition.
export ACR_ENDPOINT="<acr service endpoint>"

aliyun cr GetAuthorizationToken --endpoint $ACR_ENDPOINT --InstanceId $ACR_INSTANCE_ID --access-key-id $ALIYUN_AK --access-key-secret $ALIYUN_SK | jq -r '.AuthorizationToken'

Apa yang harus dilakukan selanjutnya

Masuk ke instance Container Registry Enterprise Edition.

Konfigurasikan kontrol akses melalui Internet atau VPC. Untuk informasi lebih lanjut, lihat Konfigurasikan Akses melalui Internet atau Konfigurasikan ACL VPC.

Gunakan kredensial akses untuk masuk ke instance Container Registry Enterprise Edition. Contoh:

docker login --username=cr_temp_user <Nama instance Container Registry Enterprise Edition>-registry.<ID Wilayah instance>.cr.aliyuncs.com

Referensi

Setelah Anda mengonfigurasi kredensial akses untuk instance Container Registry Enterprise Edition, Anda dapat mengelola dan menyimpan gambar kontainer di instance tersebut. Untuk informasi lebih lanjut, lihat Gunakan Instance Container Registry Enterprise Edition untuk Mendorong dan Menarik Gambar.