《企业级云原生白皮书项目实战》——第三章 容器——3.2 业务部署——3.2.1 ACR容器镜像服务(1) https://developer.aliyun.com/article/1229393?groupCode=supportservice
企业版镜像服务推拉架构
对于企业版ACR,主要包含实例ID(也是遇到问题给阿里云售后提供的必要信息之一), OSS bucket的ID,它的命名一般是 -registry,以及访问控制中的相关相关信息,此处是用于ACR内网拉去时的必要配置之一。
图:企业版ACR镜像与OSS对应示意图
图:企业版ACR访问控制示意图
使用企业版ACR拉取镜像过程中会涉及Registry、 AUthorization Service和OSS 三个部分,下图展示了阿里云容器镜像服务的推拉的整个交互过程。当出现推拉问题时候,所涉及的方面必然是这三部分中的某一个交互环节。
图:企业版ACR拉取鉴权示意图
1.向registry发起镜像推拉请求。
2.registry返回401 Unauthorized的HTTP返回值,并且携带鉴权服务(authorization service)的地址,需要客户端去做鉴权。
3.客户端向鉴权服务发起请求以获取一个授权token.。
4.鉴权服务返回一个携带权限的token给客户端。
5.客户端将token嵌入HTTP Authorization header头中,再次向registry发起请求。
6.registry验证token权限无问题后,在镜像推送过程中,客户端可以向registry推送镜像数据;在镜像拉取过程中,registry会向客户端颁发有时效的OSS url地址。
7.客户端通过OSS url地址拉取保存在OSS中的镜像数据。
《企业级云原生白皮书项目实战》——第三章 容器——3.2 业务部署——3.2.1 ACR容器镜像服务(3) https://developer.aliyun.com/article/1229390?groupCode=supportservice
