このトピックでは、Container Registry の主要な概念について説明し、コンテナイメージ管理を始めるのに役立つ情報を提供します。
Container Registry は、リソースを階層的に整理します。インスタンスには 1 つ以上の名前空間が含まれ、各名前空間には 1 つ以上のイメージリポジトリが含まれ、各リポジトリにはタグで識別されるコンテナイメージが格納されます。
コンテナイメージ
コンテナイメージは、アプリケーションの標準的なパッケージングフォーマットです。Dockerfile を使用して、アプリケーションとそのすべての依存関係をイメージにパッケージングし、そのイメージをイメージリポジトリにプッシュし、テスト環境または本番環境でプルしてコンテナを起動します。
Container Registry インスタンス
Container Registry インスタンスは、イメージリポジトリをホストする最上位のリソースです。イメージリポジトリを作成する前に、Container Registry インスタンスを作成する必要があります。インスタンスにログインして、そのリポジトリ内のイメージを管理します。イメージを変更した後は、再度リポジトリにプッシュします。または、イメージビルド機能を使用して、データセンターで直接イメージをビルドし、リポジトリにプッシュすることもできます。
コンテナイメージのアドレス
アドレス形式は、Container Registry Enterprise Edition と Container Registry Personal Edition で異なります。
| エディション | アドレス形式 |
|---|---|
| Enterprise Edition | instance-registry.cn-hangzhou.cr.aliyuncs.com/namespace/repository:tag |
| Personal Edition | registry.cn-hangzhou.aliyuncs.com/namespace/repository:tag |
アドレスのコンポーネントは次のとおりです:
| コンポーネント | 説明 |
|---|---|
instance | Container Registry Enterprise Edition インスタンスの名前です。インスタンスにカスタムドメイン名を設定することで、どのリージョンからでもアクセスできます。詳細については、「Container Registry Enterprise Edition インスタンスへのアクセスにカスタムドメイン名を使用する」をご参照ください。 |
namespace | 名前空間の名前です。 |
repository | イメージリポジトリの名前です。Container Registry Personal Edition は、第 1 層のリポジトリ名のみをサポートします。Container Registry Enterprise Edition は、agent/client/prod のような複数層のリポジトリ名をサポートします。 |
tag | イメージタグです (例: v1)。このフィールドはオプションです。デフォルト値は latest です。 |
Dockerfile
Dockerfile は、コンテナイメージのビルド方法を定義するテキストドキュメントです。ビルドに必要な命令と説明が含まれています。Docker などのツールは、これらの命令を読み取ってコンテナイメージを自動的にビルドします。
OCI 標準
Open Container Initiative (OCI) 標準は、次の 2 つの仕様で構成されています:
ランタイム仕様 (runtime-spec)
イメージ仕様 (image-spec):コンテナツール間でコンテナイメージのフォーマットを統一し、標準のコンテナイメージが OCI 準拠のソフトウェアや環境で動作するようにします。
OCI アーティファクト
OCI アーティファクトは、OCI Artifact 仕様を使用してコンテナレジストリに格納されるデータパッケージです。コンテナイメージだけでなく、Helm チャートや Cloud Native Application Bundles (CNAB) などのデータを、OCI マニフェストと OCI インデックスに基づいて OCI 準拠のアーティファクトにパッケージ化できます。これにより、Container Registry は、さまざまな種類のアーティファクトを単一の場所から格納、管理、配布できます。Container Registry Enterprise Edition は OCI アーティファクトをサポートしています。詳細については、「カスタム OCI アーティファクトのプッシュとプル」をご参照ください。
Helm チャート
Helm は、チャートとそのリリースを管理する Kubernetes のパッケージマネージャです。
チャートは、アプリケーションの実行に必要な、イメージ、依存関係、リソース定義など、関連する Kubernetes リソースのセットを記述したファイルのコレクションです。たとえば、チャートは WordPress と MySQL のリソース、または etcd クラスターのリソース定義を記述できます。
Container Registry Enterprise Edition は Helm チャートをホストできます。詳細については、「Helm チャートのプッシュとプル」をご参照ください。
クラウドネイティブ配信チェーン
クラウドネイティブ配信チェーンを使用すると、イメージのビルド、イメージスキャン、イメージのクロスリージョンレプリケーション、およびイメージディストリビューションを単一の自動化されたパイプラインに統合できます。配信チェーンは、安全で、監査可能で、追跡可能です。ソースコードの変更をプッシュすると、チェーンは自動的にイメージをビルド、スキャン、配布し、すべてのターゲットリージョンにデプロイします。Container Registry Enterprise Edition は、クラウドネイティブ配信チェーンをサポートしています。詳細については、「配信チェーンの作成」をご参照ください。
RAM ベースのアクセス制御
Resource Access Management (RAM) は、Alibaba Cloud の ID およびアクセス制御サービスです。1 つの Alibaba Cloud アカウント内で、組織内の従業員、システム、またはアプリケーションを表す複数の RAM ユーザーを作成し、各ユーザーに必要な権限のみを付与できます。
RAM ユーザー
RAM ユーザーは、固定の ID と認証情報を持つプリンシパルです。RAM ユーザーは、個人またはアプリケーションを表すことができます。異なる RAM ユーザーに異なるイメージ権限を付与して、最小権限アクセスを強制します。詳細については、「RAM ユーザーが Container Registry にアクセスするためのポリシーの設定」をご参照ください。
OSS
Object Storage Service (OSS) は、大量の非構造化データに対応する、安全でコスト効率が高く、信頼性の高い Alibaba Cloud のストレージサービスです。OSS は、OSS コンソールとは独立して動作する RESTful API オペレーションを提供するため、いつでもどのアプリケーションからでもデータにアクセスできます。
OSS バケット
OSS バケットは、OSS にオブジェクトを格納するためのコンテナです。すべてのオブジェクトはバケット内に存在します。各バケットにリージョン、アクセス制御リスト (ACL)、およびストレージクラスを設定して、データ要件に合わせます。Container Registry Enterprise Edition は、コンテナイメージを OSS バケットに格納します。カスタム OSS バケットを作成できます。カスタム OSS バケットを使用するには、「RAM を使用してカスタム OSS バケットへのアクセス権限を付与する」をご参照ください。