AI 助理
备案控制台
开发者社区 阿里云支持与服务 文章 正文

带你读《企业级云原生白皮书项目实战》——3.2.1 ACR容器镜像服务(5)

2023-05-25 222
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
对象存储 OSS,标准 - 本地冗余存储 20GB 3个月
推荐场景:
基于PAI-EAS挂载OSS部署AIGC服务 ossutil工具管理OSS
容器镜像服务 ACR,镜像仓库100个 不限时长
对象存储 OSS,恶意文件检测 1000次 1年
简介: 带你读《企业级云原生白皮书项目实战》——3.2.1 ACR容器镜像服务(5)

《企业级云原生白皮书项目实战》——第三章 容器——3.2 业务部署——3.2.1 ACR容器镜像服务(4) https://developer.aliyun.com/article/1229388?groupCode=supportservice


•使用自定义RAM角色的AccessKey ID和AccessKey Secret进行镜像拉取的情况下,需要把访问密钥写入confifigMap,这样存在一定的密钥泄露风险。请确定AccessKey ID和AccessKey Secret所属的RAM角色只拥有拉取容器镜像的相关权限。

•在集群中创建新的Service Account一段时间后,免密插件根据ACK集群默认权限生成的ACR私有镜像拉取Token才会更新到应用使用到的Service1Account中,使用Service Account的应用才会使用Token去拉取镜像。如果创建完Service Account之后立即创建应用则会出现因鉴权失败无法拉取的情况。

image.png

图:拉取账号更新示例

•免密插件默认覆盖ACK中所有命名空间中默认的ServiceAccount中的imagePullSecret字段。被覆盖的ServiceAccount会随着对应kube-system命名空间中acr-con-fifiguration配置项中的service-account字段变动而变动。(见上图)。

•在修改kube-system命名空间中的acr-confifiguration配置项时,请确认缩进是否与给出的场景的例子相同。建议直接复制对应场景的YAML内容到编辑器中,修改对应的值然后直接应用到集群,以保证YAML格式的正确性。

•企业版实例创建后,默认不允许通过公网访问。因此在配置公网的访问控制策略前,需要先打开公网的访问入口。在打开访问入口之后,会默认生成一条127.0.0.1/32的公网白名单。如果删除所有白名单,可以认为放开所有的公网机访问ACR实例。

•镜像太大,造成每次部署时候拉取速度慢,以及传统容器运行需要将全量镜像数据下载后再解包,然而容器启动可能仅使用其中部分的内容,导致容器启动耗时长。此种场景可以考虑P2P加速和按需加载容器镜像。


从本地数据中心访问容器镜像服务企业版实例

客户的网络架构通常是多云部署,或者云上和云下通过VPN网关、高速通道物理专线、智能接入网关打通本地数据中心和云上VPC,从而实现本地的数据中心或者本地IDC集群访问ACR服务。通过上一小节《企业镜像服务推拉架构》,我们知道ACR企业版涉及Registry、 AUthorization Service三个服务,所以如果要实现云上和IDC打通的方式实现IDC访问ACR服务,需要打通这三个服务的三个域名。


前提条件:

•云上VPC中的ECS能够正常访问容器镜像服务企业版实例。具体操作,请参见配置专有网络的访问控制。

•已打通本地数据中心和云上VPC。具体操作,请参见连接本地IDC。


获取路由地址

需要获取OSS Bucket、容器镜像服务企业版实例和鉴权服务在VPC中的IP,根据获取的IP在本地数据中心创建路由规则。

•获取OSS Bucket在VPC中的域名。关于OSS内网域名的更多信息,请参见OSS内网域名与VIP网段对照表。

•OSS Bucket在VPC中的域名为InstanceId−registry.oss−{InstanceId}-registry.oss-{RegionId}-internal.aliyuncs.com ( 如果您使用的是自定义OSS Bucket,则域名为CustomizedOSSBucket.oss−{CustomizedOSSBucket}.oss-{RegionId}-internal.aliyuncs.com)

获取容器镜像服务企业版实例在VPC中的域名。

•容器镜像服务企业版实例在VPC中的默认域名为InstanceName−registry−vpc.{InstanceName}-registry-vpc.{RegionId}.cr.aliyuncs.com 。

获取鉴权服务在VPC中的域名。

执行以下命令,获取鉴权服务在VPC中的域名。

•curl -vv https://InstanceName−registry−vpc.{InstanceName}-registry-vpc.{RegionId}.cr.aliyuncs.-com/v2/

•获取配置路由规则的IP。


《企业级云原生白皮书项目实战》——第三章 容器——3.2 业务部署——3.2.1 ACR容器镜像服务(6) https://developer.aliyun.com/article/1229384?groupCode=supportservice

文章标签:
容器镜像服务
域名与网站
对象存储
专有网络VPC
容器
Cloud Native
弹性计算
网络安全
数据安全/隐私保护
网络架构
对象存储
数据中心
关键词:
容器部署
容器企业级
云原生部署
云原生容器
云原生企业级
相关实践学习
Docker镜像管理快速入门
本教程将介绍如何使用Docker构建镜像,并通过阿里云镜像服务分发到ECS服务器,运行该镜像。
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
技术工程师
目录
相关文章
啦啦啦191
|
4月前
|
Kubernetes Docker Python
Docker 与 Kubernetes 容器化部署核心技术及企业级应用实践全方案解析
本文详解Docker与Kubernetes容器化技术,涵盖概念原理、环境搭建、镜像构建、应用部署及监控扩展,助你掌握企业级容器化方案,提升应用开发与运维效率。
啦啦啦191
814 108
蒋星熠Jaxonic
|
2月前
|
监控 Kubernetes 安全
还没搞懂Docker? Docker容器技术实战指南 ! 从入门到企业级应用 !
蒋星熠Jaxonic,技术探索者,以代码为笔,在二进制星河中书写极客诗篇。专注Docker与容器化实践,分享从入门到企业级应用的深度经验,助力开发者乘风破浪,驶向云原生新世界。
蒋星熠Jaxonic
418 3
还没搞懂Docker? Docker容器技术实战指南 ! 从入门到企业级应用 !
云浠Cherry
|
8月前
|
人工智能 关系型数据库 OLAP
光云科技 X AnalyticDB:构建 AI 时代下的云原生企业级数仓
AnalyticDB承载了光云海量数据的实时在线分析,为各个业务线的商家提供了丝滑的数据服务,实时物化视图、租户资源隔离、冷热分离等企业级特性,很好的解决了SaaS场景下的业务痛点,也平衡了成本。同时也基于通义+AnalyticDB研发了企业级智能客服、智能导购等行业解决方案,借助大模型和云计算为商家赋能。
云浠Cherry
624 17
阿里云存储
|
存储 Cloud Native 块存储
EBS深度解析:云原生时代企业级块存储
企业上云的策略,从 Cloud-Hosting 转向 Serverless 架构。块存储作为企业应用上云的核心存储产品,将通过 Serverless 化来加速新的计算范式全面落地。在本话题中,我们将会介绍阿里云块存储企业级能力的创新,深入解析背后的技术细节,分享对未来趋势的判断。
阿里云存储
931 3
土木林森
|
运维 安全 Cloud Native
"揭秘!Trivy——云原生时代的隐形安全侠,一键扫描,让容器镜像漏洞无所遁形,守护你的云端帝国坚不可摧!"
【8月更文挑战第14天】在云原生时代,容器技术如Docker与Kubernetes大放异彩,加速了应用部署。但容器化的普及也带来了安全挑战,尤其是镜像的安全性至关重要。Trivy,一款高效且轻量级的镜像安全扫描工具应运而生,成为开发者与运维人员的得力助手。它由Aqua Security开发,支持一键式全面扫描,能快速检测镜像中的漏洞与配置风险,并提供修复建议。Trivy采用Go语言编写,轻巧高效,支持多平台,并可轻松集成到CI/CD流程中,确保只有安全的镜像才能部署到生产环境。无论新手还是专家,Trivy都是构建安全可靠云环境的理想选择。
土木林森
308 2
muxiaoxi
|
运维 Cloud Native 云计算
云原生技术在企业级应用中的应用与前景分析
随着云计算技术的快速发展,云原生技术作为一种优秀的应用架构模式,正在逐渐受到企业和开发者的关注。本文通过分析云原生技术在企业级应用中的应用情况和未来发展前景,探讨了其在加速企业数字化转型、提升应用性能和灵活性等方面的优势,以及面临的挑战和解决方案。
muxiaoxi
224 27
周周的奇妙编程
|
Kubernetes Cloud Native 微服务
企业级容器部署实战:基于ACK与ALB灵活构建云原生应用架构
这篇内容概述了云原生架构的优势,特别是通过阿里云容器服务Kubernetes版(ACK)和应用负载均衡器(ALB)实现的解决方案。它强调了ACK相对于自建Kubernetes的便利性,包括优化的云服务集成、自动化管理和更强的生态系统支持。文章提供了部署云原生应用的步骤,包括一键部署和手动部署的流程,并指出手动部署更适合有技术背景的用户。作者建议在预算允许的情况下使用ACK,因为它能提供高效、便捷的管理体验。同时,文章也提出了对文档改进的建议,如添加更多技术细节和解释,以帮助用户更好地理解和实施解决方案。最后,展望了ACK未来在智能化、安全性与边缘计算等方面的潜在发展。水文一篇,太忙了,见谅!
周周的奇妙编程
13182 3
Rainbond云原生应用管理平台
|
Kubernetes 安全 Cloud Native
Rainbond 携手 TOPIAM 打造企业级云原生身份管控新体验
TOPIAM是开源的IDaas/IAM平台,旨在统一管理企业账号、权限和认证,整合各类系统,实现单点登录。通过集中式管理,它解决传统IT架构中的安全和效率问题,加强企业安全并促进数字化转型。使用Rainbond云原生应用管理平台可轻松部署TOPIAM。TOPIAM功能包括组织信息管理、身份源集成、多种认证协议、安全审计、防暴力破解和密码策略。未来将推出更多与Rainbond的结合应用案例。
Rainbond云原生应用管理平台
329 0
Rainbond 携手 TOPIAM 打造企业级云原生身份管控新体验
众所周知
|
存储 弹性计算 Kubernetes
【阿里云云原生专栏】深入解析阿里云Kubernetes服务ACK:企业级容器编排实战
【5月更文挑战第20天】阿里云ACK是高性能的Kubernetes服务,基于开源Kubernetes并融合VPC、SLB等云资源。它提供强大的集群管理、无缝兼容Kubernetes API、弹性伸缩、安全隔离及监控日志功能。用户可通过控制台或kubectl轻松创建和部署应用,如Nginx。此外,ACK支持自动扩缩容、服务发现、负载均衡和持久化存储。多重安全保障和集成监控使其成为企业云原生环境的理想选择。
众所周知
834 3
换个网名有点难
|
弹性计算 Kubernetes Linux
主流容器工具对比以及重点推荐学习的企业级工具
主流容器工具对比以及重点推荐学习的企业级工具
换个网名有点难
890 0

阿里云支持与服务

热门文章

最新文章

  • 1
    如何在Docker容器中监控和管理应用程序的性能?
  • 2
    如何在Kubernetes环境下使用第三方监控系统监控Docker容器性能?
  • 3
    如何使用第三方监控系统监控Docker容器性能?
  • 4
    【SpringBoot(一)】Spring的认知、容器功能讲解与自动装配原理的入门,带你熟悉Springboot中基本的注解使用
  • 5
    【Docker】(3)学习Docker中 镜像与容器数据卷、映射关系!手把手带你安装 MySql主从同步 和 Redis三主三从集群!并且进行主从切换与扩容操作,还有分析 哈希分区 等知识点!
  • 6
    【赵渝强老师】Docker容器的资源管理机制
  • 7
    JUC系列《深入浅出Java并发容器:CopyOnWriteArrayList全解析》
  • 8
    《深入理解Spring》:IoC容器核心原理与实战
  • 9
    (Java)Java里JFrame窗体的基本操作(容器布局篇-1)
  • 10
    2025 云栖精选资料:《从云原生到 AI 原生核心技术与最佳实践》PPT 免费下载
  • 1
    云原生机密计算新范式 PeerPods技术方案在阿里云上的落地和实践
    262
  • 2
    网易游戏 Flink 云原生实践
    165
  • 3
    Flink在B站的大规模云原生实践
    367
  • 4
    客户说|知乎基于阿里云PolarDB,实现最大数据库集群云原生升级
    532
  • 5
    Flink在B站的大规模云原生实践
    365
  • 6
    龙蜥操作系统:CentOS 谢幕之后,国产云原生系统的崛起之路
    1389
  • 7
    云原生之负载均衡策略
    149
  • 8
    StarRocks x Iceberg:云原生湖仓分析技术揭秘与最佳实践
    521
  • 9
    【发布实录】云原生+AI,助力企业全球化业务创新
    657
  • 10
    PolarDB开源:云原生数据库的架构革命
    399

    • 相关课程

    更多
  • 云计算、容器和云原生基础课程
  • ALPD云架构师系列:云原生DevOps 36计 -阿里云云效出品
  • 云原生实践公开课
  • 云原生基础概念及阿里云云原生产品介绍
  • CNCF Alibaba 云原生技术公开课
  • Kubernetes云原生管理实践

    • 相关电子书

    更多
  • 2022云栖大会:生而不凡-PolarDB将云原生进行到底
  • 阿里云云原生技术实践营 | 上海站
  • 阿里云云原生 Serverless 技术实践营西安站材料合集
    • 下一篇
    对象存储OSS快速上手——如何使用ossbrower2