简介
Docker Trusted Registry(DTR)是Docker企业版的重要组成部分,可以部署在企业专有云环境中,提供容器镜像管理,认证授权、安全扫描、数字签名等能力。
Docker镜像管理需要使用大量的存储资源,采用本地存储无法满足用户对容量和可用性的需求。Docker Registry已经内置了对阿里云对象存储服务(OSS)的支持,为镜像管理提供一个支持海量数据存储,高性能访问,高可用,安全,低成本,无需运维的存储后端。本文将介绍如何在Docker Trusted Registry 中配置OSS作为存储后端实现。
配置说明
先决条件
- 已经开通OSS服务,并且为镜像存储提供一个bucket
- 已经创建Docker企业版集群
配置
在DTR控制台,点击 Settings -> Storage -> YAML file
点击 Download YAML
修改 YAML file 的 storage 部分,将 filesystem 部分替换为 OSS 存储配置,其他部分不变
oss:
accesskeyid: {access-key-id}
accesskeysecret: {access-key-secret}
bucket: {bucket}
endpoint: {bucket-endpoint}
region: {bucket-region}Bucket 端点配置
- VPC内网域名:
<bucket>.vpc100-oss-cn-hangzhou.aliyuncs.com - 经典网络内网域名:
<bucket>.oss-cn-hangzhou-internal.aliyuncs.com - 外网域名:
<bucket>.oss-cn-hangzhou.aliyuncs.com
参考storage.yml文件如下
version: "0.1"
log:
level: debug
formatter: json
storage:
delete:
enabled: true
maintenance:
readonly:
enabled: false
oss:
accesskeyid: xxxxxx
accesskeysecret: xxxxxx
bucket: aliyungo
endpoint: aliyungo.oss-cn-hangzhou.aliyuncs.com
region: oss-cn-hangzhou
auth:
token:
issuer: 120.26.166.168
realm: https://120.26.166.168/auth/token
rootcertbundle: /config/token_roots.pem
service: 120.26.166.168
middleware:
repository:
- name: metadata
options: {}
- name: events
options: {}
storage:
- name: upstream
options:
host: https://120.26.166.168
key: /config/content-cache-key.pem
http:
addr: :5000
secret: xxxxxx
tls:
certificate: /config/registry_server-cert.pem
key: /config/registry_server-key.pem
clientcas:
- /config/registry_ca-cert.pem
点击 Upload,上层修改过的 YAML 文件
如果成功更新会出现如下提示
注意
- OSS 域名配置需要和访问DTR方式保持一致:比如需要在VPC内网访问,需要设置VPC的访问端点
- 社区版 Docker Registry中OSS配置说明,请参考 https://yq.aliyun.com/articles/57310
