检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
公网访问 操作场景 容器镜像服务企业版支持公网访问,可基于白名单策略限制来自公网环境的客户端对仓库的访问,保障仓库内的数据安全。新创建的仓库默认不开启公网访问入口。 本文档介绍如何为仓库配置公网访问。 操作步骤 登录容器镜像服务控制台,单击左侧菜单栏里的“企业版”,在“仓库管理”页面单击您的仓库名称进入。
的镜像进行安全扫描。容器镜像服务可扫描镜像仓库中的私有镜像,发现镜像中的漏洞并给出修复建议,帮助您得到一个安全的镜像。 约束与限制 目前仅支持“华北-北京一”区域。 用户需具备HSS相关权限,详细操作请参见HSS细粒度授权操作。 操作步骤 登录容器镜像服务控制台。 在左侧导航栏选
请参考返回的message,或联系技术支持。 500 SVCSTG.SWR.5000046 服务器内部错误:创建失败。 请参考返回的message,或联系技术支持。 400 SVCSTG.SWR.4000047 此版本不支持。 此版本暂不支持。 404 SVCSTG.SWR.4040048
enable_experience Boolean 是否支持体验馆 enable_hss_service Boolean 是否支持对接hss服务 enable_image_scan Boolean 是否支持镜像扫描 enable_sm3 Boolean 是否支持国密场景 enable_image_sync
version String 若该版本API支持微版本,则填支持的最大微版本号,如果不支持微版本,则填空。 status String 版本状态,为如下3种: CURRENT:表示该版本为主推版本; SUPPORTED:表示为老版本,但是现在还继续支持; DEPRECATED:表示为废弃版本,存在后续删除的可能。
version String 若该版本API支持微版本,则填支持的最大微版本号,如果不支持微版本,则填空。 status String 版本状态,为如下3种: CURRENT:表示该版本为主推版本; SUPPORTED:表示为老版本,但是现在还继续支持; DEPRECATED:表示为废弃版本,存在后续删除的可能。
镜像同步 操作场景 容器镜像服务企业版支持与其他仓库之间同步容器镜像,可实现单点推送及全球自动同步分发,方便企业在全球多个地域快速部署更新容器业务。当前支持与如下类型仓库之间同步: 容器镜像服务:即SWR共享仓库中的镜像。 容器镜像服务企业版:支持华为云不同地域的企业仓库以及客户基于开源harbor搭建的私有仓库。
IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 SWR共享版目前仅支持IAM项目,不支持企业项目。 下表中的“√”表示支持,“x”表示暂不支持。 表1 容器镜像服务(SWR)支持的自定义策略授权项 权限 对应API接口 授权项(Action) IAM项目(Project)
通过云审计服务,您可以记录与容器镜像服务相关的操作事件,便于日后的查询、审计和回溯。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CTS支持追踪SWR的操作列表,请参见支持云审计的关键操作。 图1 审计流程示意图 日志 开启了云审计服务(CTS)后,系统开始记录容器镜像服务相关的操作。CTS会保存最近1周的操作记录。
使用CTS审计SWR 支持云审计的关键操作 查看云审计日志
为了确保SWR镜像上传租户间不会互相影响,当前对单个租户流控为镜像层上传20QPS,超过后会被限流,docker会收到503并会自动重试限流拦截的请求。 SWR支持断点续传镜像文件吗? 暂不支持。
审计 支持云审计的关键操作 查看云审计日志
镜像同步 是否支持跨区域同步镜像? 为什么IAM用户无法设置镜像同步? 为什么已有镜像自动同步不成功? 为什么镜像自动同步后在同步区域看不到镜像?
policy.sigstore.dev/include:true 标签。 选择版本:选择插件版本 规格配置 单仓库:当前插件只支持在1个仓库上使用。 高可用:当前插件支持在2个仓库上使用。 自定义:自定义仓库数、CPU配额、容器配额。 表1 swr-cosign插件规格配置 参数 参数说明
容器镜像服务的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密(HTTPS) 为保证数据传输的安全性,SWR仅支持传输更安全的HTTPS协议。 构造请求 镜像数据加密存储 SWR企业仓库支持使用系统托管的KMS密钥对镜像进行加密。SWR使用OBS进行镜像存储,开启OBS桶加密功能,SWR可
前提条件 给用户组授权之前,请您了解用户组可以添加的SWR权限,并结合实际需求进行选择,SWR支持的系统权限,请参见:角色与策略权限管理。若您需要对除SWR之外的其他服务授权,IAM支持服务的所有权限请参见授权参考。 示例流程 图1 给用户授予SWR权限流程 创建用户组并授权 在
以在每次生成新的镜像版本时,自动执行更新动作,如:自动更新使用该镜像的应用。 发布区域:仅“华北-北京四”区域同时支持添加CCE和CCI类型的触发器,其他区域仅支持添加CCE类型的触发器。 全部触发示例 自动同步镜像 镜像上传后,您可以添加镜像自动同步功能,帮助您把最新推送的镜像
页面上传每次最多上传10个文件,单个文件大小(含解压后)不得超过2G。且仅支持上传1.11.2(包含)到24.0.9(包含)版本Docker容器引擎客户端制作的镜像压缩包。 推送镜像到镜像仓库 小镜像可以使用页面上传镜像,暂不支持断点续传。大镜像推荐使用客户端上传。 SWR对存储的镜像数量没有限制,您可以根据需要上传镜像。
由于冲突,请求无法被完成。 500 Internal Server Error 请求未完成。服务异常。 501 Not Implemented 请求未完成。服务器不支持所请求的功能。 502 Bad Gateway 请求未完成。服务器从上游服务器收到一个无效的响应。 503 Service Unavailable
√ x √ √ 镜像同步 √ √ x √ √ 创建组织 √ √ x √ √ 删除组织 √ √ x √ √ SWR企业版只支持策略授权,不支持系统角色授权。其支持的所有系统策略如下表 表4 SWR企业版权限 名称 描述 类型 SWR FullAccess 容器镜像仓库所有权限 系统策略
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
