容器镜像服务
产品介绍
文档版本 05
发布日期 2022-01-21
版权所有 © 华为技术有限公司 2022。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目 录
1 什么是容器镜像服务... 1
2 产品优势...4
3 应用场景...6
4 基本概念...7
5 约束与限制... 9
6 权限管理...10
7 与其他云服务的关系... 15
A 修订记录... 17
产品介绍 目 录
1 什么是容器镜像服务
产品简介
容器镜像服务(SoftWare Repository for Container,简称SWR)是一种面向容器镜 像、Helm Chart等云原生制品的安全托管及高效分发平台。具有以下特性:
● 云原生制品托管
支持多架构容器镜像(如Linux、Windows、ARM等架构),支持Helm Chart,
以及其他符合OCI规范的云原生制品管理。
● 多维度安全保障
支持网络访问控制、细粒度权限控制与操作审计,保障访问安全;支持镜像加 签、镜像安全扫描、高危镜像部署阻断,保障数据安全。
● 多地域极速分发
支持全球多地域间同步,提高容器镜像分发效率;依托镜像免加载技术,显著降 低大规模集群拉取镜像时间,保障业务的极速部署与快速扩展。
通过使用容器镜像服务,您无需自建和维护镜像仓库,即可享有云上的镜像安全托管 及高效分发服务,并且可配合云容器引擎 CCE、云容器实例 CCI使用,获得容器上云 的顺畅体验。
产品类型
容器镜像服务共享版
共享版面向个人开发者或企业客户临时测试使用,提供基础的云上镜像托管、分发服 务,镜像安全扫描功能以及便捷的镜像授权功能,方便用户进行镜像的全生命周期管 理。
产品介绍 1 什么是容器镜像服务
计费说明
● 共享版计费项包括存储空间和流量费用,目前均免费提供给您。
● 企业版目前处于公测阶段(华东-上海一),可免费使用。
规格说明
容器镜像服务共享版与企业版的规格说明如下:
功能模 块
细分项 共享版 企业版
基础版 专业版
服务保
障 SLA × √ √
实例管
理 独享Registry服务 × √ √
独享服务访问域名 × √ √
独享数据存储后端 × √ √
临时/长期访问凭证 管理
× √ √
制品管 理
容器镜像托管 √ √ √
Helm Chart托管 × √ √
Operator应用托管 × √ √
命名空间配额 5 100 200
镜像仓库配额 无限制 1000 3000
Helm仓库配额 × 1000 3000
制品安 全
数据加密存储 √ √ √
漏洞扫描 √ √ √
风险阻断 × √ √
加签验证 × √ √
网络访问控制 × √ √
VPC接入配额 × 5 10
操作审计 √ √ √
同步备
份 单点推送,全球自动
同步分发 √ √ √
全域分发 × × √
容器DevOps Webhook触发器 √ √ √
老旧镜像自动清理 √ √ √
产品介绍 1 什么是容器镜像服务
P2P镜像加速分发 √ √ √
访问方式
华为云提供了Web化的服务管理平台(即管理控制台)和基于HTTPS请求的API
(Application programming interface)管理方式。
● API方式
如果用户需要将容器镜像服务集成到第三方系统,用于二次开发,请使用API方式 访问容器镜像服务。具体操作请参见《容器镜像服务API参考》。
● 管理控制台方式
其他相关操作,请使用管理控制台方式访问容器镜像服务。如果用户已在云平台 注册,可直接登录管理控制台,从主页选择“容器镜像服务”。
如果未注册,请参见如何注册华为云管理控制台的用户?。
产品介绍 1 什么是容器镜像服务
2 产品优势
简单易用
● 无需自行搭建和运维,即可快速推送拉取容器镜像。
● 容器镜像服务的管理控制台简单易用,支持镜像的全生命周期管理。
安全可靠
● 容器镜像服务遵循HTTPS协议保障镜像安全传输,提供帐号间、帐号内多种安全 隔离机制,确保用户数据访问的安全。
● 容器镜像服务依托华为专业存储服务,确保镜像存储更可靠。
镜像加速
● 容器镜像服务通过华为自主专利的P2P镜像下载加速技术,使CCE集群下载时在确 保高并发下能获得更快的下载速度。
● 容器镜像服务智能调度全球构建节点,根据所使用的镜像地址自动分配至最近的 主机节点进行构建,可以拉取国外镜像;根据负载自动分配到空闲节点,可以加 速镜像的获取效率。
产品介绍 2 产品优势
图2-1 全球构建节点
产品介绍 2 产品优势
3 应用场景
镜像生命周期管理
提供镜像构建、镜像上传、下载、同步、删除等完整的生命周期管理能力。
优势
● P2P加速下载:华为自主专利的加速下载技术,提升华为云容器拉取镜像的速度。
● 高可靠的存储:依托华为OBS专业存储,确保镜像的存储可靠性高达11个9。
● 更安全的存储:细粒度的授权管理,让用户更精准的控制镜像访问权限。
建议搭配使用
云容器引擎CCE + 云容器实例CCI
产品介绍 3 应用场景
4 基本概念
镜像(Image)
容器镜像是一个模板,是容器应用打包的标准格式,在部署容器化应用时可以指定镜 像,镜像可以来自于镜像中心或者用户的私有Registry。例如一个容器镜像可以包含一 个完整的Ubuntu操作系统环境,里面仅安装了用户需要的应用程序及其依赖文件。容 器镜像用于创建容器。容器引擎(Docker)本身提供了一个简单的机制来创建新的镜 像或者更新已有镜像,您也可以下载其他人已经创建好的镜像来使用。
容器(Container)
一个通过容器镜像创建的运行实例,一个节点可运行多个容器。容器的实质是进程,
但与直接在宿主机执行的进程不同,容器进程运行于属于自己的独立命名空间。
镜像(Image)和容器(Container)的关系,就像是面向对象程序设计中的类和实例 一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停 止、删除、暂停等。
镜像仓库(Repository)
镜像仓库(Repository)用于存放容器镜像。单个镜像仓库可对应单个具体的容器应 用,并托管该应用的不同版本。
组织
组织用于隔离镜像仓库,每个组织可对应一个公司或部门,将其拥有的镜像集中在该 组织下。同一用户可属于不同的组织。支持为帐号下不同用户分配相应的访问权限
(读取、编辑、管理)。
产品介绍 4 基本概念
图4-1 组织
产品介绍 4 基本概念
5 约束与限制
共享仓库配额
容器镜像服务共享版对单个用户的组织数量限定了配额,如表5-1所示。如果您需要添 加更多组织,请提交工单申请。
表5-1 共享仓库配额
资源类型 配额
组织 5
企业仓库配额
表5-2 企业仓库配额
资源类型 配额
基础版 专业版
命名空间 100 200
镜像仓库 1000 3000
Helm仓库 1000 3000
VPC接入 5 10
产品介绍 5 约束与限制
6 权限管理
如果您需要对华为云上购买的容器镜像服务(SWR)资源,给企业中的员工设置不同 的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务
(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供 用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访 问。
通过IAM,您可以在华为云帐号中给员工创建IAM用户,并授权控制他们对华为云资源 的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有容器镜像服务
(SWR)的使用权限,但是不希望他们拥有删除SWR等高危操作的权限,那么您可以 使用IAM为开发人员创建用户,通过授予仅能使用SWR,但是不允许删除SWR的权 限,控制他们对SWR资源的使用范围。
如果华为云帐号已经能满足您的使用要求,不需要创建独立的IAM用户进行权限管 理,您可以跳过本章节,不影响您使用SWR服务的其他功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的 资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
SWR 权限说明
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户 组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。
授权后,用户就可以基于被授予的权限对云服务进行操作。
SWR部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区 域级项目”,然后在指定区域(如华北-北京四)对应的项目(cn-north-4)中设置相 关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在 所有区域项目中都生效。访问SWR时,需要先切换至授权区域。
根据授权精度,权限分为系统角色和系统策略。
● 系统角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机 制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于各服务之间 存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角 色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达 到企业对权限最小化的安全管控要求。
SWR共享版为这种类型的权限。
● 系统策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操 作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满 足企业对权限最小化的安全管控要求。
产品介绍 6 权限管理
SWR企业版为这种类型的权限,管理员能够控制IAM用户仅能对某一个企业版实 例进行指定的管理操作。
说明
SWR共享版和企业版的权限是独立的两部分,如需使用共享版功能,请授予表6-1中共享版对应 的系统角色;如需使用企业版功能,请授予表6-2中企业版对应的系统策略。
SWR 共享版权限
表6-1 SWR 共享版权限
名称 描述 类型
SWR Admin 容器镜像服务的管理员权限,拥有该服务下的 所有权限。
系统角色
Tenant
Administrator 除IAM服务外,其他所有服务的管理员权限,
拥有容器镜像服务下的所有权限。
系统角色
Tenant Guest 除IAM服务外,其他所有服务的只读权限,拥
有容器镜像服务下载镜像等权限。 系统角色 ServiceStage
Developer 应用管理与运维平台(ServiceStage)开发 者,拥有容器镜像服务下载镜像等权限。
系统角色
说明
在容器镜像服务中进行授权管理,可以添加对某个镜像或组织中所有镜像的读取、编辑或管理权 限。
SWR 企业版权限
表6-2 SWR 企业版权限
名称 描述 类型
SWR FullAccess 容器镜像服务企业版所有权限 系统策略 SWROperateAccess 容器镜像服务企业版操作权限,可以查询企
业版实例,操作制品仓库、组织,创建临时 凭证,上传、下载制品等。
系统策略
产品介绍 6 权限管理
表6-3 企业仓库操作与系统策略关系
操作 Action名称 SWR
FullAccess SWR
OperateAcc ess
SWRReadOnlyAcc ess
创建企业版实 例
swr:instance:creat
e √ x x
查询企业版实 例列表
swr:instance:list √ √ √
查询企业版实
例详情 swr:instance:get √ √ √ 删除企业版实
例 swr:instance:delet
e √ x x
创建组织 swr:repository:cre
ateNamespace √ √ x 查询组织列表 swr:repository:list
Namespaces √ √ √
查询组织详情 swr:repository:get
Namespace √ √ √
修改组织 swr:repository:up
dateNamespace √ √ x 删除组织 swr:repository:del
eteNamespace √ √ x 查询制品仓库
列表 swr:repository:list
Repositories √ √ √ 查询制品仓库
详情 swr:repository:get
Repository √ √ √
修改制品仓库 配置
swr:repository:up
dateRepository √ √ x 删除制品仓库 swr:repository:del
eteRepository √ √ x 上传制品 swr:repository:upl
oadArtifact √ √ x 下载制品 swr:repository:do
wnloadArtifact √ √ √ 查询chart列表 swr:chart:list √ √ √ 上传chart swr:chart:upload √ √ x 下载chart swr:chart:downlo
ad √ √ √
删除chart swr:chart:delete √ √ x
产品介绍 6 权限管理
操作 Action名称 SWR
FullAccess SWR
OperateAcc ess
SWRReadOnlyAcc
ess 创建临时访问
凭证 swr:instance:creat
eTempCredential √ √ √ 创建长期访问
凭证 swr:instance:creat
eLTCredential √ x x 查询长期访问
凭证列表 swr:instance:listLT
Credentials √ √ √
删除长期访问
凭证 swr:instance:delet
eLTCredential √ x x
相关链接
● IAM产品介绍
● 创建用户组、用户并授予SWR共享仓库权限请参考:创建用户并授权使用SWR。
● 创建用户组、用户并授予SWR企业仓库权限请参考:创建用户并授权使用企业仓 库。
SWR FullAccess 策略详情
{ "Version": "1.1", "Statement": [ {
"Action": [ "swr:*:*"
],
"Effect": "Allow"
} ] }
SWR OperateAccess 策略详情
{ "Version": "1.1", "Statement": [ {
"Action": [
"swr:repository:*", "swr:chart:*", "swr:instance:get*", "swr:instance:list*",
产品介绍 6 权限管理
"Statement": [ {
"Action": [ "swr:*:get*", "swr:*:list*", "swr:*:download*",
"swr:instance:createTempCredential"
],
"Effect": "Allow"
} ] }
产品介绍 6 权限管理
7 与其他云服务的关系
容器镜像服务需要与其他云服务协同工作,容器镜像服务和其他云服务的关系如图 7-1。
图7-1 容器镜像服务和其他云服务的关系
● 云容器引擎
云容器引擎(Cloud Container Engine,简称CCE)提供高可靠高性能的企业级容 器应用管理服务,支持Kubernetes社区原生应用和工具,简化云上自动化容器运 行环境搭建。
容器镜像服务能无缝对接CCE,您可以将容器镜像服务中的镜像部署到CCE中。
● 云容器实例
产品介绍 7 与其他云服务的关系
通过CTS,您可以记录与容器镜像服务相关的操作事件,便于日后的查询、审计和 回溯。CTS支持的SWR操作列表参见容器镜像服务的关键操作列表。
产品介绍 7 与其他云服务的关系
A 修订记录
发布日期 更新特性
2022-01-21 第五次正式发布。
容器镜像服务企业版公测,涉及如下章节修改:
● 1 什么是容器镜像服务
● 5 约束与限制
● 6 权限管理 2021-06-30 第四次正式发布。
● 1 什么是容器镜像服务,修改容器镜像服务的计费说明。
● 4 基本概念,补充镜像仓库概念。
2019-12-30 第三次正式发布。
支持镜像安全扫描,涉及1 什么是容器镜像服务章节。
2018-07-30 第二次正式发布。
支持P2P方式下载镜像,涉及1 什么是容器镜像服务、2 产品 优势和3 应用场景章节。
2018-03-02 第一次正式发布。
产品介绍 A 修订记录
