检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建完成后,就可以从已添加的内网IP网段访问仓库。 创建内网访问会在VPC终端节点(VPCEP)服务下创建一个对应的VPC终端节点,请勿删除,否则会影响访问。 后续操作 创建内网访问后,您还需要创建访问凭证,才可以访问仓库。访问凭证的获取方法请参见访问凭证。 父主题: 访问控制
内网访问 当您使用的安装容器引擎的客户端为云上的ECS或CCE节点,且机器与容器镜像仓库在同一区域时,上传下载镜像走内网链路。 您无需进行任何访问配置,直接访问SWR即可。 如果您通过配置"VPC终端节点"的方式来访问OBS,并在"VPC终端节点"设置了双端固定策略,需要将SWR
R之外的其他服务授权,IAM支持服务的所有权限请参见授权参考。 示例流程 图1 给用户授予SWR权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予容器镜像服务的管理员权限“SWR Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。
【注意】公网白名单,建议以单IP的形式增加放通白名单,减少网段放通过大,增加被攻击的风险。 单击“确定”,该白名单IP添加成功并生效。 如需修改该白名单信息,可删除后再次新建。 后续操作 创建公网访问后,您还需要创建访问凭证,才可以访问仓库。访问凭证的获取方法请参见访问凭证。 父主题: 访问控制
公网访问 场景描述 该场景下安装容器引擎的机器为云上的ECS或CCE节点,机器与容器镜像仓库不在同一区域,上传下载镜像走公网链路,机器需要绑定弹性公网IP。在此场景下,又分为2种情形。 单个ECS访问公网 多个ECS访问公网 单个ECS访问公网 当您的某台ECS需要主动访问公网,
访问控制概述 容器镜像服务企业版支持访问控制,新创建的仓库默认阻断全部访问来源,以确保您的镜像仓库内的数据安全。您可以根据业务需要配置访问控制策略,以最小范围放通业务客户端访问仓库。 仓库支持从公网访问和从华为云内网访问,并能分别控制公网和内网访问权限。 图1 仓库访问示意图 公
IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予SWR所需的权限,用户加入到用户组后,该用户将拥有该用户组的所有权限。 IAM权限介绍 镜像权限 镜像的权限指的
VPN/云专线访问 场景描述 该场景下用户本地数据中心或私有网络无法通过公网访问SWR。这种情况下可以通过云专线或VPN连接华为云VPC,通过专线或VPN打通用户本地数据中心到VPC间的网络,使用VPC终端节点访问SWR。 此场景仅适用于通过容器镜像服务上传镜像,当您需要下载镜像
conf”文件的修改操作后立即生效。 方法二: “/etc/resolv.conf”文件的修改操作在弹性云服务器重启后会失效,需要重新进行配置。如果用户不希望每次重启弹性云服务器后都重新配置DNS,可以按如下步骤修改虚拟私有云的子网信息,将DNS服务器地址添加到弹性云服务器对应的子网中。 对虚拟
访问管理 访问凭证 访问控制 域名管理
需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 SWR部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如中国-香港)对应的
interface)管理方式。 API方式 如果用户需要将容器镜像服务集成到第三方系统,用于二次开发,请使用API方式访问容器镜像服务。具体操作请参见《容器镜像服务API参考》。 管理控制台方式 其他相关操作,请使用管理控制台方式访问容器镜像服务。如果用户已在云平台注册,可直接登录管理控制台,从主页选择“容器镜像服务”。
容器镜像服务-成长地图 | 华为云 容器镜像服务 容器镜像服务(SoftWare Repository for Container)是一种支持容器镜像全生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务。 图说SWR 图说ECS 立即使用 立即使用
单击确定后会自动下载一个“长期凭证名称.csv”文件。 镜像访问凭证是docker命令,用于访问镜像仓库,镜像仓库的使用详细说明请参见镜像仓库。 创建临时凭证 登录容器镜像服务控制台,单击左侧菜单栏的“企业版”。 在左侧导航栏选择“访问管理 > 访问凭证”。选择“临时凭证”页签。 选择“镜像”或
传权限,但是不允许他登录控制台,只能通过Docker客户端push镜像。 策略:您在组织详情“用户”页签下为该员工授予“编辑”权限,并且在IAM中设置访问方式为“编程访问”。 图1 修改访问方式示例 授权方法 容器镜像服务中给IAM用户添加权限有如下两种方法: 在镜像详情中添加授
在域名管理页面单击目标域名操作列下的“删除”。 输入“DELETE”单击“确定”。 设置访问控制与域名解析 公网访问 设置公网访问控制和域名解析,您可以使用公网并通过自定义域名的方式访问SWR仓库。配置公网的访问控制,详情请参考配置公网访问。 进入云解析服务控制台。 在左侧树状导航栏,选择“公网域名”, 进入域名列表页面。
Authenticate Error 用户无编程访问权限,需要使用管理员账号登录IAM,修改用户访问方式。 denied: Not allow to login、upload or download image 用户大批量并发上传镜像或者攻击服务,系统把用户拉黑,用户无法登录和上传下载镜像。请在3
为什么使用客户端上传镜像失败? 获取长期有效登录指令 长期有效登录指令永久有效。用户需要有编程访问权限,如果无编程访问权限,需要使用管理员账号登录IAM,修改用户访问方式。 发布区域:全部 为什么登录指令执行失败? 长期有效的登录指令与临时登录指令的区别是什么? 页面上传镜像 从页面
IAM用户是由账号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。IAM用户不进行独立的计费,由所属账号统一付费。 用户组 用户组是用户的集合,IAM可以通过用户组功能实现用户的授权。您创建的IAM用户,加入特定用户组后,将具备对应用户组的权限。当
像仓库。跨云Harbor同步镜像至SWR存在两种场景: Harbor可以通过公网访问SWR,配置方法参见公网访问场景。 通过专线打通Harbor到VPC间的网络,使用VPC终端节点访问SWR,配置方法参见专线打通场景。 背景知识 Harbor是VMware公司开源的企业级Docker
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
