腾讯容器镜像服务

只挑一些比较重要的东西写,不重要的自行看文档了

产品简介

容器镜像服务(Tencent Container Registry,TCR)是腾讯云提供的容器镜像云端托管服务。支持 Helm Chart v2/v3,及其它符合 OCI 规范的云原生制品管理。深度集成 CODING DevOps 和容器服务 TKE

image.png

个人版与企业版区别

image.png

image.png

企业还是乖乖使用企业版吧,SLA(服务等级协议)是一个,Webhook是一个,临时/长期访问凭证管理是一个主要原因。

镜像存储

它是通过后面的COS对象存储来存储镜像和分发的,所以是可以对此作生命周期,例如我可以根据项目的迭代情况,只保留180天的镜像,当然怕误删除,也可以定期手动删除一下。

访问

这里不说个人,企业注重的是私密性。

  • 长期访问凭证:生成后永久有效,支持禁用及删除。长期访问凭证可应用在前期测试、CICD 流水线及容器集群拉取镜像等场景中。


    image.png
  • 临时登录指令:1小时内有效,生成后无法禁用及吊销。临时登录指令可应用在临时使用,对外单次授权等场景中,对安全性要求较高的生产集群也可通过定时刷新的方式进行使用。

注意事项

使用部分功能时,将自动创建长期访问凭证,包含以下场景:

  • 在容器服务 TKE 集群中安装 TCR 插件,将会自动创建所选实例的长期访问凭证。该凭证暂不会随着插件删除而自动销毁,如不在需要使用,请手动删除自动创建的访问凭证。
  • 使用镜像构建,交付流水线功能时,将自动专用的访问凭证,并提供给 CODING DevOps 服务,用于推送自动构建的镜像,请勿直接删除该访问凭证,将会导致已有镜像构建配置失效。

网络控制

  • 公网访问控制
    • 可写白名单,控制镜像来源。
    • 导入安全组来控制。
  • 内部访问控制,一般VPC内部通行。

授权

这个用得不多,因为账号一般就是运维可用,当然大公司可能会因运维职责不同而细分,腾讯这里使用通过策略生成器创建权限权限粒度。
对于企业内部的仓库权限

角色 查看 pull push del
配置管理员 T T T T
开发人员 T T T F

管理命名空间与镜像仓库

  • 命名空间是有限的,基础版是50个
  • 镜像仓库配额也是有限的,1000个
  • Helm仓库配额有限的,1000个

命名空间50个能理解,其它的因为他后端要存储在DB上,所以会限制镜像仓只有1000条的记录,所以我们要对旧的仓进行删除,假如100个项目,每个项目保留最近10个版本。如果再扣掉一些基础镜像,打个9折这样吧。

  • 同一命名空间会分很多仓,仓下会有版本。这个需要制定一个命名规则。
    同一仓库源可以有多个 TAG,代表这个仓库源的不同个版本,如ubuntu仓库源里,有15.10、14.04等多个不同的版本,我们使用 REPOSITORY:TAG 来定义不同的镜像。

基础镜像名称规范

name-主版本:更新版本:tomcat-7:7.0.78

业务镜像命名规则: projectName-serviceName-fe-version:7654321-20220329090000

  • projectName: 项目名
  • serviceName: 服务名,如无忽略这组
  • fe|be: 前端|后端
  • version: 版本号可对于gitlab中的tag
  • tag: commit id(前7位)-yymmddHHMMSS(时间)

perspective-be

Docker命令+镜像名仓库名标签名踩坑疑问*

镜像清理

  • 企业内部:保留最近的30个image镜像。优先把老的镜像清除。
  • 清理COS存储空间,腾讯云容器镜像服务(Tencent Container Registry,TCR)支持设置自定义规则批量清理企业版实例内的镜像版本,但在删除镜像版本后,存储在实例关联的对象存储 COS 内的镜像数据仍保留。您可以使用制品清理功能,删除对象存储 COS 内已失效的镜像版本相关数据,清理 COS 存储空间,降低存储费用。本文将介绍如何使用制品清理功能,清理 COS 存储空间。
  • 自动删除镜像版本,腾讯云容器镜像服务(Tencent Container Registry,TCR)支持托管分发容器镜像,并提供镜像构建功能实现代码变更自动触发镜像构建,推送及托管。如果客户需要快速迭代业务应用,可采用自动化流水线生成镜像,将会不断生成大量镜像版本,同时旧的镜像版本不再使用。单个镜像仓库内过多镜像版本将给版本管理带来负担,而且将可能触及仓库内镜像版本数配额。因此 TCR 实现了镜像版本保留功能,此功能允许用户自定义创建版本保留规则,可定时触发该规则,并自动删除保留规则外的镜像版本。版本保留规则支持两种保留策略,保留最新推送的#个版本和保留#天内推送的版本,并支持模拟执行。

你可能感兴趣的:(腾讯容器镜像服务)