为Docker Trusted Registry配置OSS对象存储

简介

Docker Trusted Registry（DTR）是Docker企业版的重要组成部分，可以部署在企业专有云环境中，提供容器镜像管理，认证授权、安全扫描、数字签名等能力。

Docker镜像管理需要使用大量的存储资源，采用本地存储无法满足用户对容量和可用性的需求。Docker Registry已经内置了对阿里云对象存储服务（OSS）的支持，为镜像管理提供一个支持海量数据存储，高性能访问，高可用，安全，低成本，无需运维的存储后端。本文将介绍如何在Docker Trusted Registry 中配置OSS作为存储后端实现。

配置说明

先决条件

• 已经开通OSS服务，并且为镜像存储提供一个bucket
• 已经创建Docker企业版集群

配置
在DTR控制台，点击 Settings -> Storage -> YAML file

点击 Download YAML

修改 YAML file 的 storage 部分，将 filesystem 部分替换为 OSS 存储配置，其他部分不变

  oss:
    accesskeyid: {access-key-id}
    accesskeysecret: {access-key-secret}
    bucket: {bucket}
    endpoint: {bucket-endpoint}
    region: {bucket-region}

Bucket 端点配置

• VPC内网域名: <bucket>.vpc100-oss-cn-hangzhou.aliyuncs.com
• 经典网络内网域名: <bucket>.oss-cn-hangzhou-internal.aliyuncs.com
• 外网域名: <bucket>.oss-cn-hangzhou.aliyuncs.com

参考storage.yml文件如下

version: "0.1"
log:
  level: debug
  formatter: json
storage:
  delete:
    enabled: true
  maintenance:
    readonly:
      enabled: false
  oss:
    accesskeyid: xxxxxx
    accesskeysecret: xxxxxx
    bucket: aliyungo
    endpoint: aliyungo.oss-cn-hangzhou.aliyuncs.com
    region: oss-cn-hangzhou
auth:
  token:
    issuer: 120.26.166.168
    realm: https://120.26.166.168/auth/token
    rootcertbundle: /config/token_roots.pem
    service: 120.26.166.168
middleware:
  repository:
  - name: metadata
    options: {}
  - name: events
    options: {}
  storage:
  - name: upstream
    options:
      host: https://120.26.166.168
      key: /config/content-cache-key.pem
http:
  addr: :5000
  secret: xxxxxx
  tls:
    certificate: /config/registry_server-cert.pem
    key: /config/registry_server-key.pem
    clientcas:
    - /config/registry_ca-cert.pem

点击 Upload，上层修改过的 YAML 文件

如果成功更新会出现如下提示

注意

• OSS 域名配置需要和访问DTR方式保持一致：比如需要在VPC内网访问，需要设置VPC的访问端点
• 社区版 Docker Registry中OSS配置说明，请参考 https://yq.aliyun.com/articles/57310

Docker 企业版在中国由阿里云提供：请联系销售人员获取 Docker 企业版，或访问阿里云市场在线购买