本文将介绍如何从零开始,购买容器镜像服务企业版实例,并配置网络访问策略,最终实现容器镜像的推送及拉取。若您需要使用容器镜像服务个人版,请参考 个人版快速入门。
步骤1:注册腾讯云账号
注册腾讯云账号,并完成 实名认证。如果您已在腾讯云注册,可忽略此步骤。
步骤2:开通容器镜像服务
在 腾讯云控制台 中,选择云产品 > 容器镜像服务,进入容器镜像服务控制台,按照界面提示开通容器镜像服务并为服务授权(如果您已为容器镜像服务授权,请跳过该步骤)。
步骤3:购买企业版实例
1. 登录 容器镜像服务控制台。2. 在实例管理页面,单击新建。3. 在容器镜像服务购买页中参考以下信息购买实例。如下图所示:
计费类型:容器镜像服务 TCR 提供两种类型的计费方式:包年包月和按量计费。详情请参见容器镜像服务 计费概述。实例名:输入自定义实例名称。该名称全局唯一,请避免与自己或他人现有实例名称重复。该名称将直接用于该实例 Registry 服务的访问域名,创建后不可修改,请谨慎选择。建议组合使用公司、实例所在地域或项目的缩写。实例地域:选择您希望部署该实例的地域。实例创建后地域将无法更改,请根据容器集群资源所在地进行选择。实例规格:选择您希望购买的实例规格。不同实例规格具有不同的实例性能及配额,详情请参见 规格说明。实例域名:自动生成的实例访问域名,前缀与实例名一致。实例创建后,实例域名无法修改。使用 docker login 命令登录实例时,即使用该域名。后端存储:实例创建时将自动在当前账号下创建并关联腾讯云对象存储 COS 存储桶,实例内镜像等数据将被存储至该存储桶内,并产生存储及流量费用,详情请参见 COS 计费指南。您可在实例创建后前往 COS 控制台查看该存储桶,请避免误删该存储桶,否则实例内托管的镜像等数据将无法找回。后端存储-多AZ特性:可选启用关联 COS 存储桶的多AZ特性。建议开启 COS 存储桶多 AZ 特性,可实现多可用区容灾,并提供更高的数据可靠性和服务可用性,但产生的存储容量费用相对较高,详情请参见 对象存储 COS 官方文档 – 多 AZ 特性概述。实例标签:为新建的实例绑定腾讯云标签,也可在实例创建后在实例详情页进行绑定与编辑。4. 阅读并勾选《容器镜像服务协议》。
企业版实例按照实例所在地域及规格收取不同费用,请在配置完成基本信息后确认已选规格及配置费用。5. 勾选该选项后可单击立即购买,购买已选配置的企业版实例。6. 您可在实例管理页面查看实例购买进度,当实例状态为“运行中”时,则表示当前实例已成功购买并处于可用状态。您可参考以下步骤开始配置实例的访问控制策略并登录实例完成镜像的推送及拉取。
步骤4:配置网络访问策略
为保护您的数据安全,实例创建后默认拒绝全部公网及内网访问。在准备登录实例、推送及拉取镜像之前,请首先进行网络访问策略配置。
选择控制台左侧导航栏中的访问控制,按需选择内网访问或公网访问,并配置相应的访问策略。内网访问(推荐)公网访问注意容器镜像服务个人版及企业版均不支持基础网络接入,如需使用本服务,建议尽快切换至私有网络 VPC,并通过内网访问服务。如您需要在容器服务 TKE 中使用本服务,请参见 使用 TCR 企业版实例内容器镜像创建工作负载 进行配置。
建议通过内网访问方式推送、拉取容器镜像,可明显提升推送、拉取速度,并避免产生公网流量成本。同时,您可通过管理内网访问链路,指定可以访问您镜像数据的私有网络 VPC,保障数据安全。
操作步骤如下:1. 在 内网访问 页面上方,确认已选择新建的实例。2. 单击接入私有网络,在弹出的新建内网访问链路中配置私有网络及子网信息。如下图所示:
请选择您希望访问镜像仓库的容器集群所在的私有网络,并选择该私有网络内任意一个仍有内网 IP 可供占用的子网。如果当前账号已开通 私有域解析 Private DNS 服务,可在该私有网络 VPC 内免费使用该产品配置默认域名的私有域解析。3. 如果未配置该实例域名在接入的私有网络 VPC 内的解析,内网访问链路建立成功后,请单击管理自动解析,开启内网域名解析。该功能基于腾讯云私有域解析 PrivateDNS 产品,如您尚未开通该产品,请首先开通该服务。详情请参见 内网访问控制。注意开启公网访问入口将会把您的独享实例暴露在公网环境内,建议您在完成内网访问配置后,尽快关闭公网访问入口。操作步骤如下:1. 在 公网访问 页面上方,确认已选择新建的实例。2. 单击左上角的开启公网访问入口,按钮状态将变为开启中。如下图所示:
开启公网访问将允许 Docker 客户端通过公网访问镜像仓库。
3. 当按钮状态由开启中转变为关闭公网访问入口时,即说明已经成功开启公网访问入口,此时可单击列表左上方的添加公网白名单添加公网访问放通策略。4. 在弹出的新建公网访问白名单窗口中,配置需放通的公网 IP 地址或地址段,或导入已有安全组的配置,并可选填写该规则的备注信息。如下图所示:
建议不要直接填写 0.0.0.0/0 以放通全部来源的公网访问,或在实例正式启用前删除该规则。
步骤5:创建命名空间
1. 选择左侧导航栏中的命名空间,进入命名空间列表页面并单击新建。说明命名空间用于管理实例内的镜像仓库,不直接存储容器镜像,可映射为企业内团队、项目或是其他自定义层级。2. 在弹出的新建命名空间窗口中,参考以下提示配置命名空间信息并单击确认。如下图所示:
名称:建议使用企业内团队或项目进行命名,单个实例内命名空间名称不可重复。访问级别:可选择私有或公开,命名空间内的镜像仓库及 Helm Chart 仓库将继承该属性,命名空间创建后仍可修改该属性。
步骤6:创建镜像仓库(可选)
说明 您可在完成命名空间创建后,直接通过 Docker 客户端向该命名空间内推送镜像,对应的镜像仓库将被自动创建。1. 单击左侧导航栏中的镜像仓库,进入镜像仓库列表页面。2. 单击新建并在弹出的新建镜像仓库窗口中,配置镜像仓库信息并单击确认。如下图所示:
其中,命名空间可选择已创建的命名空间,名称支持多级路径,详细描述支持 Markdown 语法。
步骤7:推送拉取镜像
通过以上步骤,您已经创建了实例及镜像仓库,接下来可通过以下步骤实现向镜像仓库内推送及拉取镜像。说明此步骤需要您使用一台安装有 Docker 的云服务器或物理机,并确保访问的客户端已在 配置网络访问策略 定义的公网或内网允许访问范围内。
登录 Registry 实例
1. 单击左侧导航栏中的访问凭证,进入“访问凭证”列表页面,选择当前新建的实例,并单击生成临时登录指令。说明本文以获取实例临时登录指令为例,您还可以 获取长期访问凭证。2. 在弹出的“临时登录指令”窗口中,单击复制登录指令。3. 在命令行工具中执行已获取的登录指令,登录实例。示例如下:
sudo docker login demo-tcr.tencentcloudcr.com --username 1xxx1019xxxx --password eyJhbGciOiJSUzI1NiIsImtpZCI6IlZCVTY6VTVGVzpP...
命令行工具显示 Login Succeeded 即表示登录成功。
推送容器镜像
您可在本地构建新的容器镜像或从 DockerHub 上获取一个公开镜像用于测试。
本文以 DockerHub 官方的 Nginx 最新镜像为例,在命令行工具中依次执行以下指令,即可推送该镜像。请将 demo-tcr、project-a 及 nginx 依次替换为您实际创建的实例名称、命名空间名称及镜像仓库名。
sudo docker tag nginx:latest demo-tcr.tencentcloudcr.com/project-a/nginx:latest
sudo docker push demo-tcr.tencentcloudcr.com/project-a/nginx:latest
拉取容器镜像
本文以已成功推送的 Nginx 镜像为例,在命令行中执行以下命令,即可拉取该镜像。
sudo docker pull demo-tcr.tencentcloudcr.com/project-a/nginx:latest
相关文档
容器镜像服务 TCR 企业版同时提供 Helm Chart 托管,实例跨地域同步,镜像安全扫描等高阶功能,您可参考以下文档使用:管理 Helm Chart配置实例同步管理触发器网络访问控制访问权限管理
出现问题?
如果您在使用过程中出现问题,可参考 常见问题 进行问题定位及解决,也可通过 在线咨询 将问题反馈给我们,我们将尽快为您处理。
官网1折活动,限时活动,即将结束,速速收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利。同意关联立享优惠
转转请注明出处:http://www.yunxiaoer.com/146881.html