1.12 全域分发
1.1 申请公测
操作场景
容器镜像服务企业版目前在“华东-上海一”区域开放公测,您可以申请公测免费试 用。
操作步骤
步骤1 登录容器镜像服务控制台。
步骤2 在左侧导航栏选择“企业版 公测”,跳转至企业版控制台。
步骤3 单击右上角“申请公测”,填写申请信息并勾选公测协议,单击“申请公测”。
图1-1 申请公测
步骤4 公测申请审批通过后,即可体验企业版相关功能。
----结束
1.2 权限管理
1.2.1 创建用户并授权使用企业仓库
操作场景
如果您需要对您所拥有的企业仓库进行精细的权限管理,您可以使用统一身份认证服 务(Identity and Access Management,简称IAM),通过IAM,您可以:
● 根据企业的业务组织,在您的华为云帐号中,给企业中不同职能部门的员工创建 IAM用户,让员工拥有唯一安全凭证,并使用SWR资源。
● 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
● 将企业仓库资源委托给更专业、高效的其他华为云帐号或者云服务,这些帐号或 者云服务可以根据权限进行代运维。
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章 节,不影响您使用企业仓库的其他功能。
本章节以授予“SWR FullAccess”权限为例介绍为用户授权的方法。
前提条件
给用户组授权之前,请您了解用户组可以添加的企业仓库权限,并结合实际需求进行 选择,企业仓库支持的系统权限,请参见:SWR企业版权限。若您需要对除SWR之外 的其他服务授权,IAM支持服务的所有权限请参见:系统权限。
示例流程
图1-2 给用户授予企业仓库权限流程
1. 创建用户组并授权
在IAM控制台创建用户组,并授予容器镜像服务的管理员权限“SWR FullAccess”。
2. 创建用户并加入用户组
在IAM控制台创建用户,并将其加入1中创建的用户组。
3. 用户登录并验证权限
新创建的用户登录控制台,切换至授权区域,验证权限:在右上角单击“购买企 业版实例”,如果能购买企业仓库,说明权限设置成功。
1.2.2 企业仓库自定义策略
操作场景
如果系统预置的企业仓库权限不满足您的授权要求,可以创建自定义策略。自定义策 略中可以添加的授权项(Action)请参考表1-1。
目前华为云支持以下两种方式创建自定义策略:
● 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服 务、操作、资源、条件等策略内容,可自动生成策略。
● JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内 容;也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见:创建自定义策略。本章为您介绍常用的企业仓库自定义策略样
如果您给用户授予SWR FullAccess的系统策略,但不希望用户拥有SWR
FullAccess中定义的删除企业仓库实例权限,您可以创建一条拒绝删除企业仓库实 例的自定义策略,然后同时将SWR FullAccess和拒绝策略授予用户,根据Deny优 先原则,则用户可以对企业仓库执行除了删除企业仓库实例外的所有操作。拒绝
操作 Action名称 SWR
FullAccess SWR
OperateAcc ess
SWRReadOnlyAcc ess
创建企业版实
例 swr:instance:creat
e √ x x
查询企业版实
例列表 swr:instance:list √ √ √ 查询企业版实
例详情 swr:instance:get √ √ √
操作 Action名称 SWR
FullAccess SWR
OperateAcc ess
SWRReadOnlyAcc ess
删除企业版实
例 swr:instance:delet
e √ x x
创建组织 swr:repository:cre
ateNamespace √ √ x 查询组织列表 swr:repository:list
Namespaces √ √ √
查询组织详情 swr:repository:get
Namespace √ √ √
修改组织 swr:repository:up
dateNamespace √ √ x 删除组织 swr:repository:del
eteNamespace √ √ x 查询制品仓库
列表
swr:repository:list
Repositories √ √ √ 查询制品仓库
dateRepository √ √ x 删除制品仓库 swr:repository:del
eteRepository √ √ x 上传制品 swr:repository:upl
oadArtifact √ √ x 下载制品 swr:repository:do
wnloadArtifact √ √ √ 查询chart列表 swr:chart:list √ √ √ 上传chart swr:chart:upload √ √ x 下载chart swr:chart:downlo
ad √ √ √
删除chart swr:chart:delete √ √ x 创建临时访问
凭证 swr:instance:creat
eTempCredential √ √ √ 创建长期访问
凭证 swr:instance:creat
eLTCredential √ x x 查询长期访问
凭证列表 swr:instance:listLT
Credentials √ √ √
操作 Action名称 SWR
FullAccess SWR
OperateAcc ess
SWRReadOnlyAcc ess
删除长期访问
凭证 swr:instance:delet
eLTCredential √ x x
1.2.3 企业仓库资源
资源是服务中存在的对象。在企业仓库中,资源包括:镜像仓库、企业版实例、Chart 仓库,您可以在创建自定义策略时,通过指定资源路径来选择特定资源。
表1-2 SWR 的指定资源与对应路径
指定资源 资源路径
repository 【格式】
SWR:*:*:repository:镜像仓库名称
instance 【格式】
SWR:*:*:instance:企业版实例名称
"Statement": [ 云原生制品安全托管服务,提供容器镜像、Helm Chart等符合OCI规范的云原生制品 托管。
前提条件
● 已开通容器镜像服务所依赖的云服务:虚拟私有云 VPC、对象存储 OBS、密钥管 理服务 KMS、VPC终端节点 VPCEP。
● 已为容器镜像服务企业版授权您的虚拟私有云、对象存储等资源权限。
● 计费模式:当前仅支持按需计费模式,公测期间,可免费使用。
● OBS桶加密:实例购买后默认在您帐号下创建OBS桶,用来托管容器镜像。开启 OBS桶加密后,上传对象时自动进行加密,以提高数据存储安全。但同时会影响
1.4 网络访问控制
1.4.1 网络访问控制概述
容器镜像服务企业版支持网络访问控制,新创建的企业版实例默认阻断全部访问来 源,以确保您的镜像仓库及Helm Chart内的数据安全。您可以根据业务需要配置访问 控制策略,以最小范围放通业务客户端访问实例。
IAM用户使用网络访问控制功能时,需要拥有“VPC ReadOnlyAccess”权限,从而能 够获取到VPC的子网列表。请使用帐号登录IAM为IAM用户授权,具体方法请参见创建
操作步骤
步骤1 登录容器镜像服务控制台,单击企业版实例进入。
步骤2 在左侧导航栏选择“安全可信 > 访问控制”。
步骤3 选择“公网访问”页签,单击“启用公网访问”。阅读弹窗中的提示信息,并单击
“确定”。
图1-6 启用公网访问
步骤4 单击右上角“创建公网访问”,在弹出的窗口中填写白名单IP网段,如图1-7所示。如 果一次需要添加多个网段,可单击“添加白名单IP”进行添加。
图1-7 添加白名单
步骤5 单击“确定”,该白名单IP添加成功并生效。
说明
如需修改该白名单信息,可删除后再次新建。
----结束
后续操作
创建公网访问后,您还需要创建访问凭证,才可以访问企业版实例。访问凭证的获取 方法请参见1.5 创建访问凭证。
1.4.3 内网访问控制
操作场景
容器镜像服务企业版支持内网访问控制,可基于内网访问链路限制私有网络内的客户 端访问实例。
本文档介绍如何为企业版实例配置内网访问控制。完成以下配置后,您可使用指定 VPC内的云服务器通过内网拉取企业版实例中的镜像。
说明
每个企业版实例所在VPC默认能访问企业版实例,您可以在内网访问页面看到一条默认的内网访 问规则。
操作步骤
步骤1 登录容器镜像服务控制台,单击企业版实例进入。
步骤2 在左侧导航栏选择“安全可信 > 访问控制”。
步骤3 选择“内网访问”页签,单击右上角“创建内网访问”。
步骤4 在弹出的窗口中选择所属项目、内网IP所属VPC和子网,如图1-8所示。
图1-8 创建内网访问
步骤5 单击“确定”。
等待“状态”变为“正常”,且“IP”不为空时,则说明内网访问已创建成功。
图1-9 内网访问
创建完成后,就可以从已添加的内网IP网段访问企业版实例。
创建内网访问会在VPC终端节点(VPCEP)服务下创建一个对应的VPC终端节点,请勿 删除,否则会影响访问。
图1-10 内网访问 VPC 终端节点
----结束
后续操作
创建内网访问后,您还需要创建访问凭证,才可以访问企业版实例。访问凭证的获取 方法请参见1.5 创建访问凭证。
1.5 创建访问凭证
操作场景
镜像仓库和Chart仓库需要使用访问凭证才能访问。访问凭证分为长期凭证和临时凭 证:
● 长期凭证:生成后永久有效,支持禁用及删除。长期凭证可应用在前期测试、
CICD流水线及容器集群拉取镜像等场景中。
注意
长期凭证没有时效限制,生成后请妥善保管,如果遗失请及时禁用或删除。
● 临时凭证:24小时内有效,生成后无法禁用及吊销。临时凭证可应用在临时使 用,对外单次授权等场景中,对安全性要求较高的生产集群也可通过定时刷新的 方式进行使用。
创建长期凭证
步骤1 登录容器镜像服务控制台,单击企业版实例进入。
步骤2 在左侧导航栏选择“制品仓库 > 访问凭证”。
步骤3 选择“长期凭证”页签,单击“新建长期凭证”。
步骤4 在弹出的窗口中填写凭证名称,如图1-11所示。
图1-11 新建长期凭证
步骤5 单击“确定”。
单击确定后会自动下载一个“长期凭证名称.csv”文件,内容包括如图1-12所示几项内 容。
图1-12 长期凭证
其中:
● 镜像访问凭证是docker命令,用于访问镜像仓库,镜像仓库的使用详细说明请参 见1.7 镜像仓库。
● chart访问凭证是helm命令,用于访问Chart仓库,Chart仓库的使用详细说明请参 见1.8 Helm Chart仓库。
----结束
创建临时凭证
步骤1 登录容器镜像服务控制台,单击企业版实例进入。
步骤2 在左侧导航栏选择“制品仓库 > 访问凭证”。选择“临时凭证”页签。
步骤3 选择“镜像”或“chart”,单击“生成临时访问凭证”,如图1-13所示。
图1-13 生成临时访问凭证
临时凭证会直接显示在页面上,如图1-14所示,您可以复制后使用。
图1-14 临时凭证
其中:
● 镜像访问凭证是docker命令,用于访问镜像仓库,镜像仓库的使用详细说明请参 见1.7 镜像仓库。
● chart访问凭证是helm命令,用于访问Chart仓库,Chart仓库的使用详细说明请参 见1.8 Helm Chart仓库。
----结束
后续操作
● 上传镜像
● 使用Helm客户端上传及下载Helm Chart
1.6 组织管理
操作场景
组织用于管理多个具有关联属性的镜像仓库和Helm Chart,不直接存储容器镜像和 Helm Chart,可对应企业内部的一个产品项目或部门。
说明
企业版实例创建成功后,默认会创建一个名为“library”的公有组织。
创建组织
步骤1 登录容器镜像服务控制台,单击企业版实例进入。
步骤2 在左侧导航栏单击“组织管理”。
步骤3 在右上角单击“创建组织”。
步骤4 填写组织名称,选择组织类型。
图1-15 创建组织
● 公有组织:允许任何用户登录后下载组织内的制品,如需其他操作需在IAM上为
● 公有组织:允许任何用户登录后下载组织内的制品,如需其他操作需在IAM上为