检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
容器镜像服务企业版支持访问控制,新创建的仓库默认阻断全部访问来源,以确保您的镜像仓库内的数据安全。您可以根据业务需要配置访问控制策略,以最小范围放通业务客户端访问仓库。 仓库支持从公网访问和从华为云内网访问,并能分别控制公网和内网访问权限。 图1 仓库访问示意图 公网访问:仓库支持从公网访问,通
户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮
创建命名空间 登录容器镜像服务控制台,单击左侧菜单栏的“企业版”,在“仓库管理”页面单击您的仓库名称进入仓库。 在左侧导航栏单击“命名空间”。 在右上角单击“创建命名空间”。 填写命名空间名称,选择命名空间类型。 图1 创建命名空间 公有命名空间:允许任何用户登录后下载命名空间内
操作场景 容器镜像服务企业版支持公网访问,可基于白名单策略限制来自公网环境的客户端对仓库的访问,保障仓库内的数据安全。新创建的仓库默认不开启公网访问入口。 本文档介绍如何为仓库配置公网访问。 操作步骤 登录容器镜像服务控制台,单击左侧菜单栏里的“企业版”,在“仓库管理”页面单击您的仓库名称进入。
组织管理 镜像仓库管理 镜像版本管理 共享账号管理 API版本信息 组织权限管理 镜像权限管理 镜像同步管理 触发器管理 镜像老化规则管理 临时登录指令 配额管理 其他
故障类 为什么登录指令执行失败? 为什么使用客户端上传镜像失败? 为什么通过页面上传镜像失败? 为什么docker pull指令执行失败? 如何解决内网下载镜像失败? API调用异常
临时凭证:24小时内有效,生成后无法禁用及吊销。临时凭证可应用在临时使用,对外单次授权等场景中,对安全性要求较高的生产集群也可通过定时刷新的方式进行使用。 创建长期凭证 登录容器镜像服务控制台,单击左侧菜单栏的“企业版”,在“仓库管理”页面单击您的仓库名称进入。 在左侧导航栏选择“访问管理 > 访问凭证”。 选
目前仅支持“华北-北京一”区域。 操作步骤 登录容器镜像服务控制台。 在左侧导航栏选择“我的镜像”,单击右侧镜像名称,进入镜像详情页。 在执行镜像安全扫描任务前,请确保“我的镜像”中已经有1个以上的私有镜像。如果您当前账户下没有私有镜像,请参考客户端上传镜像,上传一个镜像到您的镜像仓库中。
州”、“西南-贵阳一”、“华北-乌兰察布一”、“中国-香港”、“亚太-新加坡”、“亚太-曼谷”、“非洲-约翰内斯堡”区域。 单个镜像同步 登录容器镜像服务控制台。 在左侧导航栏选择“我的镜像”,单击右侧镜像名称。 在镜像详情页面单击右上角“镜像自动同步”。 单击图标,选择目标区域和目标组织,然后单击“确定”完成添加。
tag,单个仓库的签名速度为1分钟300个tag本;验签插件安装后,验签速度为1分钟300个镜像版本。 前提条件 已购买企业版实例 已购买CCE集群 创建非对称密钥 登录数据加密服务控制台。 在左侧导航栏选择“密钥管理”,单击右上角的“创建密钥”。 在“创建密钥”对话框中配置参数,然后单击“确定”。 镜像签
完成后,您将享有下载该镜像的权限。 示例二:我是SWR管理员,需要给公司外部员工授权一个组织的镜像上传权限,但是不允许他登录控制台,只能通过Docker客户端push镜像。 策略:您在组织详情“用户”页签下为该员工授予“编辑”权限,并且在IAM中设置访问方式为“编程访问”。 图1
镜像同步 操作步骤 购买仓库,详细操作步骤请参考购买仓库。 登录容器镜像服务控制台,单击左侧菜单栏“企业版”,然后单击仓库名称进入仓库详情页面 在左侧导航栏选择“镜像同步”>“目标仓库”。 按照表格填写相关参数,配置目标仓库,参数填写说明请参考表1。 在左侧导航栏选择“镜像同步”
VPC、对象存储 OBS、密钥管理服务 KMS、VPC终端节点 VPCEP。 已为容器镜像服务企业版授权您的虚拟私有云、对象存储等资源权限。 操作步骤 登录容器镜像服务控制台。 单击页面右上角“创建仓库”,进入购买界面。输入以下参数,具体参数含义如下: 计费模式:当前仅支持按需计费模式。 所属
删除仓库 仓库创建后,用户也可以对它进行删除操作。 操作步骤 登录容器镜像服务控制台,单击左侧菜单栏里的“企业版”。 在页面左上角切换Region到您所在的Region。 单击您要删除的仓库后面的“删除”按钮。您可以根据需要,选择是否勾选“删除仓库关联的OBS桶”和“删除仓库关联的DNS”。
修改镜像老化规则 修改镜像老化规则。 获取镜像老化记录 获取镜像老化记录。 临时登录指令 API 说明 生成临时登录指令 通过获取响应消息头的X-Swr-Dockerlogin的值及响应消息体的host值,可生成临时登录指令。 配额管理 API 说明 获取配额信息 获取配额信息。
容器镜像服务是通过swr-cosign插件实现镜像签名验证的,使用镜像验签功能需要安装swr-cosign插件即可。下面介绍如何安装验签插件swr-cosign。 操作步骤 登录云容器引擎CCE控制台。 在左侧导航栏上单击“插件市场”。 在插件市场页面上方搜索框输入“cosign”并搜索。 在下方的搜索结果中找到“容器镜像签名验证”插件,单击“安装”。
"https://www.example.com/v3/projects" } } 从控制台获取项目ID 从控制台获取项目ID的步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面的项目列表中查看项目ID。 图1 查看项目ID
开启了云审计服务(CTS)后,系统开始记录SWR相关的操作。CTS会保存最近1周的操作记录。 本小节介绍如何在CTS管理控制台查看最近1周的操作记录。 操作步骤 登录CTS管理控制台,单击页面右上角“返回旧版”。 选择左侧导航栏的“事件列表”,进入事件列表页面。 事件记录了云资源的操作详情,设置筛选条件,单击“查询”。
开启了云审计服务(CTS)后,系统开始记录SWR相关的操作。CTS会保存最近1周的操作记录。 本小节介绍如何在CTS管理控制台查看最近1周的操作记录。 操作步骤 登录CTS管理控制台,单击页面右上角“返回旧版”。 选择左侧导航栏的“事件列表”,进入事件列表页面。 事件记录了云资源的操作详情,设置筛选条件,单击“查询”。
镜像在上传下载过程中,有可能会因为网络劫持、数据缓存等原因,存在数据不一致的问题。SWR提供通过计算Sha256值的方式对上传下载的数据进行一致性校验。 客户端上传镜像 跨区域复制 跨区域复制是指通过创建跨区域复制规则,将源仓库的镜像自动、异步地复制到不同区域的另外一个仓库中。跨区域复制能够为用户