检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
的镜像压缩包。 前提条件 已创建组织,请参见创建组织。 镜像已保存为tar或tar.gz文件,具体请参见制作镜像压缩包。 操作步骤 登录容器镜像服务控制台。 在左侧导航栏选择“我的镜像”,单击右上角“页面上传”。 在弹出的窗口中选择组织,单击“选择镜像文件”,选择要上传的镜像文件。
您可以使用docker容器引擎也可以使用containerd容器引擎拉取容器镜像服务中的镜像。 docker容器引擎 以root用户登录容器引擎所在的虚拟机。 参考容器引擎客户端推送镜像(推荐)获取登录访问权限,连接容器镜像服务。 登录容器镜像服务控制台。 在左侧导航栏选择“我的镜像”,单击右侧镜像名称。
一IAM用户可属于不同的组织,如图1所示。 SWR支持为账户下IAM用户分配相应的访问权限(读取、编辑、管理),具体请参见镜像授权管理。 图1 组织 创建组织 容器镜像服务为您提供组织管理功能,方便您根据自身组织架构来构建镜像的资源管理。上传镜像前,请先创建组织。 登录容器镜像服务控制台。
组织的镜像上传权限,但是不允许他登录控制台,只能通过Docker客户端push镜像。 策略:您在组织详情“用户”页签下为该员工授予“编辑”权限,并且在IAM中设置访问方式为“编程访问”。 图1 修改访问方式示例 授权方法 容器镜像服务中给IAM用户添加权限有如下两种方法: 在镜像
容器镜像服务支持Linux、ARM等多架构容器镜像托管。企业可以将镜像仓库迁移到容器镜像服务,节省运维成本。 如何把已有的镜像仓库平滑地迁移到容器镜像服务?这里将介绍4种常见的方案,用户可以根据自己的实际使用场景来选择。 迁移方案 表1 迁移方案及适用场景对比 方案类型 适用场景 注意事项 使用docker命令迁移镜像至SWR
图解容器镜像服务
SDK概述 本文介绍了SWR服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了SWR服务支持的SDK列表,您可以在GitHub仓库查看
基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有的权限对云服务进行操作。关于策略的语法结构及示例,请参见IAM权限管理说明。 权限根据授权的精细程度,分为角色和策略。角
容器镜像服务目前有共享版和企业版。差异如下: 表1 容器镜像服务共享版和容器镜像服务企业版对比表 大类 功能项 共享版 企业版 通用 页面入口 登录华为云控制台,单击服务列表,搜索“容器镜像服务”,单击进入的是共享版容器镜像服务。 在共享版容器镜像服务页面单击“企业版”链接,进入的则是企业版容器镜像服务
临时登录指令 生成临时登录指令 父主题: API
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务,您可以记录与容器镜像服务相关的操作事件,便于日后的查询、审计和回溯。
高可靠的存储:依托华为OBS专业存储,确保镜像的存储可靠性高达11个9。 更安全的存储:细粒度的授权管理,让用户更精准的控制镜像访问权限。 建议搭配使用 云容器引擎CCE + 云容器实例CCI
如何制作镜像包? 使用docker save命令可将容器镜像制作成tar或tar.gz镜像包,具体命令格式如下: docker save [OPTIONS] IMAGE [IMAGE...] OPTIONS说明:--output、-o,表示导出到文件。 示例: $ docker save
建议更换网络环境,或者通过容器引擎客户端上传。 不允许用户上传镜像 问题现象:使用页面上传镜像,报如下所示错误: “Not allow to login、upload or download image” 问题原因:用户大批量并发上传镜像或者攻击服务,系统把用户拉黑,用户无法登录和上传下载镜像。 解决方法:
选择目标仓库所在位置。 容器镜像服务:即SWR共享仓库中的镜像。 容器镜像服务 企业版:其他仓库,可以是不同地域的企业仓库。 容器镜像服务 企业版 仓库地址 目标仓库的地址。 swr.cn-east-3.myhuaweicloud.com 访问ID 访问密码 目标仓库的访问ID和密码。 ID和密码对应docker
R之外的其他服务授权,IAM支持服务的所有权限请参见授权参考。 示例流程 图1 给用户授予SWR权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予容器镜像服务的管理员权限“SWR Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。
body: " 问题原因:连接不上镜像仓库,网络不通。 解决办法:请检查网络后重试。 内网访问 当您使用的安装容器引擎的客户端为云上的ECS或CCE节点,且机器与容器镜像仓库在同一区域时,上传下载镜像走内网链路。您无需进行任何访问配置,直接访问SWR即可。 公网访问 该场景下安装容器引
/etc/profile生效。 不允许用户下载镜像 问题现象:使用客户端下载镜像,报如下所示错误: “Not allow to login、upload or download image” 问题原因:用户大批量并发上传镜像或者攻击服务,系统把用户拉黑,用户无法登录和上传下载镜像。 解决方法:
登录问题 长期有效的登录指令与临时登录指令的区别是什么? 临时的登录指令代指6个小时后会过期失效,不能再被使用的登录指令。可应用在临时使用,对外单次授权等场景中,对安全性要求较高的生产集群也可通过定时刷新的方式进行使用。 长期有效的登录指令有效期为永久。可应用在前期测试、CICD流水线及容器集群拉取镜像等场景中。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
