容器镜像服务企业版是企业级云原生应用制品管理平台,提供容器镜像、Helm Chart、符合OCI规范制品的生命周期管理功能。您可以将镜像托管到企业版实例,便于使用镜像创建应用。本文介绍如何使用企业版实例推送拉取镜像。

前提条件

步骤一:创建企业版实例

  1. 登录容器镜像服务控制台
  2. 在顶部菜单栏,选择所需地域。
  3. 实例列表页面,单击创建企业版实例
  4. 创建企业版实例页面,完成基本信息的配置,然后单击立即购买
    参数 说明
    地域 选择企业版实例所在的地域。
    实例规格 选择实例规格。更多信息,请参见什么是容器镜像服务ACR
    实例名称 输入实例名称。
    实例存储 支持默认自定义
    • 默认:默认将在您账号下创建OSS Bucket托管容器镜像。
    • 自定义:可自定义选择已有OSS Bucket托管容器镜像。
    选择Bucket 选择已有Bucket托管容器镜像。
    说明 仅设置实例存储自定义时,需要设置该项。
    安全扫描 提供镜像安全扫描功能,支持选择以下两种安全扫描引擎:
    • Trivy扫描引擎:开源扫描引擎,支持检测系统漏洞和应用漏洞,不支持一键修复系统漏洞功能。
    • 云安全扫描引擎:阿里云自研的扫描引擎,支持检测系统漏洞、应用漏洞、基线检查和恶意样本,支持一键修复系统漏洞功能。
    仓库配额 基础版默认仓库配额为1000,标准版为3000,高级版为5000,您可以在这里按需额外增加仓库配额。
    命名空间配额 基础版默认命名空间配额为15,标准版为25,高级版为50,您可以在这里按需额外增加命名空间配额。
    购买时长 目前支持选择1、2、3、6个月和1~5年。
    说明 您还可以设置是否到期自动续费。
  5. 确认订单页面确认并选中我已阅读并同意容器镜像服务企业版服务协议,单击去支付
  6. 支付页面底部查看实例的总费用,如无疑问,根据提示完成支付。

    实例列表页面新建实例的运行状态为启动中。大约2到3分钟后,状态会变为运行中

步骤二:获取镜像仓库的登录名

  • 如果您使用的是阿里云账号,阿里云账号就是您的镜像仓库登录名。
  • 如果您使用的是RAM用户,去掉RAM用户账号.onaliyun.com后的名称就是您的镜像仓库登录名。例如您的RAM用户为123@1234567810111213.onaliyun.com,则您的镜像仓库登录名为123@1234567810111213。

步骤三:设置镜像仓库登录密码

如果您想要通过固定凭证上传下载镜像,您可以配置访问凭证。具体操作,请参见配置访问凭证

步骤四:创建命名空间

  1. 登录容器镜像服务控制台
  2. 在顶部菜单栏,选择所需地域。
  3. 实例列表页面单击目标企业版实例。
  4. 在企业版实例管理页面选择仓库管理 > 命名空间
  5. 命名空间页面单击创建命名空间
  6. 创建命名空间对话框中设置命名空间名称、是否自动创建仓库默认仓库类型。单击确定

步骤五:创建镜像仓库

  1. 登录容器镜像服务控制台
  2. 在顶部菜单栏,选择所需地域。
  3. 实例列表页面单击目标企业版实例。
  4. 在企业版实例管理页面选择仓库管理 > 镜像仓库
  5. 镜像仓库页面单击创建镜像仓库
  6. 仓库信息配置向导中设置命名空间仓库名称仓库类型镜像版本镜像加速摘要描述信息,单击下一步
  7. 代码源配置向导中设置代码源构建设置构建规则设置,单击创建镜像仓库
    参数 说明
    代码源 选择代码源。
    构建设置
    • 代码变更自动构建镜像:当分支有代码提交后会自动触发构建规则。
    • 海外源智能加速:构建时会在海外机房构建,构建成功后推送到指定地域。
    • 不使用缓存:每次构建时会强制重新拉取基础依赖镜像,可能会增加构建时间。
    构建规则设置 请在仓库创建完成后,前往构建页面设置。具体操作,请参见构建仓库与镜像

步骤六:配置访问控制

  • 如果您的Docker客户端使用的是专有网络,需要为企业版实例配置专有网络访问控制,才能连接到企业版实例。具体操作,请参见配置专有网络的访问控制
  • 如果您的Docker客户端使用的是公网,需要为企业版实例配置公网访问控制,才能连接到企业版实例。本文以配置公网访问控制为例。
  1. 登录容器镜像服务控制台
  2. 在顶部菜单栏,选择所需地域。
  3. 实例列表页面单击目标企业版实例。
  4. 在企业版实例管理页面左侧导航栏选择仓库管理 > 访问控制
  5. 访问控制页面单击公网,打开访问入口开关,然后单击添加公网白名单
  6. 添加公网白名单对话框中,输入Docker客户端所在主机的网段和备注信息,单击确定
    完成添加之后,该白名单所在网段的Docker客户端即可正常访问企业版实例。
    注意 如果您希望所有公网下的Docker客户端均可以访问企业版实例,需要开启公网访问入口并删除所有公网白名单。请注意完全暴露在公网的企业版实例存在被攻击的风险,请谨慎操作。

步骤七:推送拉取镜像

以下命令行操作需要在Docker客户端进行,请提前安装和配置Docker客户端。

  1. 执行以下命令,登录镜像仓库。
    说明 如果您推送和拉取的是公开镜像仓库,您可以在容器镜像控制台概览页面打开公开匿名拉取开关,然后您可以免登录匿名拉取公开镜像仓库。 
    docker login --username=<镜像仓库登录名> <企业版实例名称>-registry.<企业版实例所在的地域>.cr.aliyuncs.com
    示例:
     docker login --username=123@1234567810111213 m**-registry.cn-hangzhou.cr.aliyuncs.com

    在返回结果中输入步骤三:设置镜像仓库登录密码中设置的密码,然后显示login succeeded,表示登录成功。

  2. 推送镜像。
    1. 执行以下命令,给镜像打标签。
      docker tag <镜像ID> <企业版实例名称>-registry.<企业版实例所在的地域>.cr.aliyuncs.com/<命名空间的名称>/<镜像仓库的名称>:<镜像版本号>
      示例:
      docker tag Digest m**-registry.cn-hangzhou.cr.aliyuncs.com/m**/test:latest
    2. 执行以下命令,推送镜像至企业版实例。
      docker push <企业版实例名称>-registry.<企业版实例所在的地域>.cr.aliyuncs.com/<命名空间的名称>/<镜像仓库的名称>:<镜像版本号>
      示例:
      docker push m**-registry.cn-hangzhou.cr.aliyuncs.com/m**/test:latest
      镜像仓库页面单击目标镜像仓库名称,选择镜像版本,在镜像版本页面可以看到推送的镜像,说明推送镜像成功。
  3. 执行以下命令,拉取镜像。
    docker pull <企业版实例名称>-registry.<企业版实例所在的地域>.cr.aliyuncs.com/<命名空间的名称>/<镜像仓库的名称>:<镜像版本号>
    示例:
    docker pull m**-registry.cn-hangzhou.cr.aliyuncs.com/m**/test:latest
    执行docker images,在返回结果中可以看到拉取的镜像,说明拉取镜像成功。