参数名称 说明 regionId 资源池ID，可参考 accountId 账号ID，可用代替 instanceId 容器镜像服务实例ID namespaceName 命名空间名称 repositoryName 镜像仓库名称 chartNamespaceName Chart命名空间名称 chartRepositoryName Chart仓库名称

本文介绍如何配置容器镜像。 ECI支持从天翼云容器镜像服务CRS，或者Docker Hub等私有镜像仓库中拉取镜像。创建ECI实例前，需要将镜像上传到对应仓库中。下面将介绍如何配置容器镜像。 注意 当拉取公网镜像时，需要为ECI实例绑定弹性公网IP。 配置说明 通过控制台创建ECI实例的过程中，为容器配置容器镜像时，可以选择个人仓库中各命名空间下的容器镜像。 当镜像位于DockerHub等私有仓库时，可手动填入容器镜像地址及镜像版本。 如果镜像是私有的，则需要在“其他设置”中添加镜像访问凭证，最后点击“+添加参数”。当用户配置了镜像访问凭证后，平台就会在ECI实例启动后，通过该访问凭证拉取相关镜像。

本章节为您介绍容器审计的相关内容。 容器审计概述 什么是容器审计？ 容器审计功能支持对容器集群中的各种操作和活动进行监控和记录，可帮助用户洞察容器生命周期的各个阶段，包括创建、启动、停止和销毁等。用户通过审计和分析，可以及时发现并处理安全问题，从而确保容器集群的安全性、稳定性。 支持的审计类型 集群容器：K8s审计日志、K8s事件、容器日志、容器运行指令。 非集群容器：容器日志、容器运行指令。 SWR镜像仓：镜像仓日志。 应用场景 容器环境异常事件排查分析：当容器环境出现异常操作或活动时，可通过容器审计日志定位异常事件发生时间和行动轨迹，从而总结出解决办法。 约束与限制 集群容器或非集群容器已开启容器版防护。 使用说明 完全启用容器审计功能，需满足以下条件： 1. 集群容器或非集群容器已接入HSS并开启容器版防护。 2. 完成部分审计类型的审计前提操作，具体如下表所示。 对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。 启用容器审计后，集群内的各类操作和活动日志将记录在HSS控制台，供您查看。

本节介绍了容器镜像服务的开通企业版实例。 前提条件 用户已经注册天翼云账号。 开通企业版实例 1、登录容器镜像服务控制台 。 2、点击订购容器镜像服务( 企业版) 。 3、在开通页面填写实例名称，配置内网访问、选择或者创建对象存桶，填写用户名和密码（用以登录进行推送和拉取镜像）。 4、填写完成且页面没有提示错误后，点击立即订购进行开通。

本节介绍了容器镜像服务的开通企业版实例。 前提条件 用户已经注册天翼云账号。 开通企业版实例 1、登录容器镜像服务控制台 。 2、点击订购容器镜像服务( 企业版) 。 3、在开通页面填写实例名称，配置内网访问权限，选择或创建对象存储桶，并设置用于镜像推送和拉取的用户名及密码。 4、填写完成且页面没有提示错误后，点击立即订购进行开通。

概念 说明 容器（Container） 容器是轻量的、可执行的独立软件包，是镜像运行的实体 容器组（Container Group） 容器组是一组可以被调度到同一台宿主机上的容器集合。这些容器共同构成了容器组的生命周期，并共享容器组的网络和存储资源。一个容器组即一个ECI实例，其概念与Kubernetes的Pod概念类似 镜像（Image） 镜像是一个特殊的文件系统，包含容器应用运行所需的程序、库文件、配置等。Docker镜像是容器应用打包的标准格式，在部署容器化应用时，您需要指定镜像，该镜像可以来自于Docker Hub、天翼云容器镜像服务CRS或者您的私有Registry 镜像缓存（ImageCache） 镜像缓存用于加速拉取镜像，减少ECI实例启动耗时。受网络、镜像大小等因素影响，镜像拉取是ECI实例启动的主要耗时，提前制作镜像缓存可以加速拉取镜像 数据卷（Volume） 数据卷是容器组的共享存储资源。您可以将外部数据卷挂载到指定的容器组，容器组中声明的数据卷由容器组中的所有容器共享 标签（Tag） 标签是附加在容器组上的一系列Key/Value键值对。标签需要在创建容器组时设置，每个容器组最多可以拥有20个标签，其中key值必须唯一。标签的概念与Kubernetes的Label概念类似 虚拟节点（Virtual Node） 基于Kubernetes社区的Virtual Kubelet技术，ECI可以通过虚拟节点的方式接入到Kubernetes集群中，即ECI实例并不会运行在一个集中式的真实节点上，而是会被打散分布在整个天翼云的资源池中

本文介绍了镜像p2p加速分发的用户指南。 概述 镜像 P2P 加速功能利用集群节点的带宽资源，在节点之间进行镜像分发，减少对容器镜像服务的压力，可以大幅提升镜像拉取速度，减少应用部署时间。 前置条件 安装 cubep2pacceleration 插件。 集群所使用的容器运行时为 containerd，且 containerd版本不低于1.6。 已创建容器镜像服务企业版实例。 使用步骤 安装插件 安装 cubep2pacceleration插件，目前有两种方式： 1. 登陆云容器引擎控制台，在 "插件" "插件市场" 中找到 cubep2pacceleration插件并安装。 2. 使用helm部署，参考命令： plaintext helm install RELEASENAME set keyvalue namespace kubesystem 重点推荐方式1。 配置参数 crsRegistries参数配置用户使用的容器镜像服务的内网实例地址，可配置多个，注意需要指定https协议。 注意 需要将样例修改为实际的实例地址，若实例地址配置不正确，则P2P加速插件无法加速对应的镜像拉取过程。 plaintext crsRegistries: " " persistence参数配置数据存储。 persistence.nodeNames指定集群中若干节点的名称用于进行本地数据存储，建议设置5个。 persistence.directoryPath指定节点本地的数据存储目录路径，每个节点目录空间不小于8G。 注意 需要将样例修改为实际的节点名称，否则会导致插件安装失败。 若指定节点发生故障，会影响P2P加速插件功能。 plaintext persistence: nodeNames: "ccsenodename1" "ccsenodename2" "ccsenodename3" "ccsenodename4" "ccsenodename5" directoryPath: /p2pdata P2P加速插件默认会占用每个节点的65001和40901端口进行请求代理和健康检查，可通过 proxyPort 和 healthCheckPort 参数修改对应端口。 plaintext 代理端口 proxyPort: 65001 健康检查端口 healthCheckPort: 40901

本节介绍了容器镜像加签验签的用户指南。 概述 镜像签名功能保障镜像来源安全可靠，避免中间人攻击和非法镜像的更新与运行。CRS支持为命名空间的镜像自动加签，每次推送容器镜像后都会匹配加签规则自动加签，保障您的容器镜像内容可信。 镜像签名步骤 为命名空间下的镜像设置自动加签的步骤如下： 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择容器镜像仓库实例。 4. 在企业版实例管理页面的左侧菜单上选择"安全可信" "镜像签名"，点击左上角的创建镜像加签规则按钮。 5. 在弹出的对话框，填写镜像加签规则的，然后点击“确定”按钮，完成创建，界面各项参数说明如下表； 参数 是否必选 说明 命名空间 必选 选择需要自动加签的命名空间名称 使用默认私钥 非必选 加签时是否使用默认的私钥，勾选则表明使用默认私钥加签，若不勾选则表明使用自定义私钥，则需要往下录入自定义私钥的信息 私钥 非必选 如果上述"使用默认私钥"不勾选，则必须在此框填入自定义私钥的信息，可以将私钥直接贴入，或者从"文件导入"，私钥目前只支持长度位数是2048，格式为PKC8的RSA密钥 密码 非必选 如果创建RSA密钥对时有添加密码，则需要再此处填上，否则会影响加签执行 6. 创建完毕的规则会展示在镜像签名的列表中，可对签名规则进行编辑，如更换签名密钥等。 注意 1. 镜像加签不会影响镜像的常规使用，更不会影响镜像中原有的能力及业务功能。 2. 单个命名空间只能创建一个加签规则。 3. 如果是使用自定密钥，密钥对需要自行保存维护好，使用跟密钥对应的公钥方可验签成功。

本小节介绍SWR私有镜像管理。 私有镜像仓库中的镜像来源于容器镜像服务(SWR)的自有镜像，企业主机安全支持对这些共享镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息的扫描并提供扫描报告。 约束限制 仅HSS容器版支持该功能。 仅支持对Linux镜像执行安全扫描。 查看私有镜像 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航栏中，选择“资产管理 > 容器管理” ，进入容器管理界面，选择“容器镜像 > SWR私有镜像”页签。 4、单击“从SWR更新自有镜像”，可以同步SWR所有自有镜像。 手动扫描私有镜像 您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。 SWR私有镜像支持的安全扫描项如下： 扫描项 说明 漏洞 检测镜像中存在的漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查： − 检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项。 − 检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： − /usr/ − /lib/ − /lib32/ − /bin/ − /sbin/ − /var/lib/ − /var/log/ − /nodemodules/ / .md − /nodemodules//test/ − /service/iam/examplestest.go − /grafana/public/build/.js 说明 可在“漏洞报告>敏感信息”页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： − 文件大于20M。 − 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 私有镜像仓库”，展开镜像名称，单击“操作”列的“安全扫描”，扫描单个镜像。 4、 在弹出的提示框中，单击“确定”，启动扫描任务。 5、待目标镜像“扫描状态”列显示为“扫描完成”，即扫描结束。

本节介绍了容器镜像服务:容器镜像常用操作。 安装容器运行时 常见的容器运行时包括以下3种，可以根据需求选择安装。 Docker Containerd CRIO docker常用操作 1. 登录容器镜像服务实例。 plaintext docker login usernamecrsuser testregistryhuadong1.crs.ctyun.cn 登录的用户名和密码为开通实例时设置的用户名和密码，如果忘记密码，可以在访问凭证页面重置密码。 2. 拉取镜像。 plaintext docker pull testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 3. 推送镜像。 plaintext docker tag testregistryhuadong1.crs.ctyun.cn/nstest/repotest: docker push testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 4. 示例： 使用docker images命令查看本地镜像。 plaintext docker images REPOSITORY TAG IMAGE ID CREATED SIZE busybox latest xxxxxxx 7 weeks ago 4.86MB 使用docker tag命令重命名镜像。 plaintext docker tag b539af69bc01 testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 使用docker push命令推送镜像。 plaintext docker push testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 ctr常用操作 1. 拉取镜像。 plaintext ctr image pull user tester testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 2. 推送镜像。 plaintext ctr image tag testregistryhuadong1.crs.ctyun.cn/nstest/repotest: ctr image push user tester testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 3. 示例： 使用ctr image ls命令查看本地镜像。 plaintext ctr image ls REF TYPE DIGEST SIZE PLATFORMS LABELS docker.io/library/busybox:latest application/vnd.docker.dist... sha256:3fbc632167424... 2.1 MiB linux/amd6 使用ctr image tag命令重命名镜像。 plaintext ctr image tag docker.io/library/busybox:latest testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 使用ctr image push命令推送镜像。 plaintext ctr image push user tester testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1

本章节介绍如何通过页面上传镜像。 操作场景 从页面上传镜像，是指直接通过控制台页面将镜像上传到容器镜像服务的镜像仓库。 约束与限制 每次最多上传10个文件，单个文件大小（含解压后）不得超过2G。 仅支持上传1.11.2及以上容器引擎客户端版本制作的镜像压缩包。 前提条件 已创建组织，请参见创建组织。 镜像已保存为tar或tar.gz文件，具体请参见制作镜像压缩包。 操作步骤 步骤 1 登录容器镜像服务控制台。 步骤 2 在左侧导航栏选择“我的镜像”，单击右上角“页面上传”。 步骤 3 在弹出的窗口中选择组织，单击“选择镜像文件”，选择要上传的镜像文件。 说明 多个镜像同时上传时，镜像文件会按照顺序逐个上传，不支持并发上传。 图 上传镜像 步骤 4 单击“开始上传”。 待任务进度显示“上传完成”，表示镜像上传成功。

参数名称 说明 regionId 资源池ID，可参考 accountId 账号ID，可用代替 instanceId 容器镜像服务实例ID namespaceName 命名空间名称 repositoryName 镜像仓库名称 chartNamespaceName Chart命名空间名称 chartRepositoryName Chart仓库名称

支持在线镜像制作和镜像共享。 预置镜像 平台预置了一些常用镜像，可以在创建任务时直接使用 自定义镜像 平台允许通过开发机和使用天翼云容器镜像服务来制作镜像，具体步骤如下： 使用开发机制作镜像 1. 启动在线制作环境：进入模型定制模块，选择开发机，点击【JupyterLab】>【创建JupyterLab】或【VSCode】>【创建VSCode】，选择一个系统内置镜像，选择运行环境，提交后操作列点击启动 2. 镜像制作：等待启动成功，当创建的JupyterLab或VSCode的状态显示【运行中】后即可点击操作列【打开】，在开发环境中安装自己需要的软件和环境，退出，选中创建的JupyterLab或VSCode，操作列点【更多】>【制作镜像】，即可将容器中的操作环境打包成新的镜像，并出现在自定义镜像列表中，可参见开发机制作镜像模块内容 镜像共享 1. 登陆天翼云容器镜像服务，访问地址（ /dashboard），在【同资源池】下，按需创建【个人版】或【企业版】，进入实例详情创建属于您自己的命名空间和镜像仓库。 2. 有了镜像仓库后，根据实例详情访问凭证中的指引通过公网地址将您的镜像上传至仓库中。 3. 进入镜像共享，创建镜像共享，将您希望使用的镜像共享至一站式智算服务平台，共享目标用户填入【huijuprod】，共享后您就可以在一站式智算服务平台的自定义镜像中看到此镜像。 注意 1、如果您想在模型开发JupyterLab和VSCode中使用自定义镜像，需要将对应的软件安装包打包进您的自定义镜像中。 方法1：在docker file中具体执行命令：

本节介绍了容器镜像服务常见问题:镜像加速。 开启镜像加速后，对象存储Bucket的使用量增加 由于加速镜像同样也是容器镜像，并存放在用户企业版实例中，因此也会产生存储开销，即用户上传了一个300MiB的普通镜像，经过转换后会产生一个约300MiB的加速镜像。 运行加速镜像失败 1. 运行镜像版本Tag带“accelerated”后缀的加速镜像，需要先在集群中安装好加速插件“cubeaccelerationsuite“，并等待插件正常运行后方可正常运行加速。 2. 运行加速镜像的集群对容器运行时有所限制，需要容器运行时是containerd且1.6.23ccse版本的节点方可运行。 安装镜像加速插件失败 1. 集群需要具备标签ctyun.cn/imageaccelerateenabledtrue的Worker节点方可安装。 2. 标签ctyun.cn/imageaccelerateenabledtrue不能打到Master节点上，否则会视为无效，本插件会跳过在所有Master节点上搭建加速环境。 镜像加速插件卸载 卸载插件包含运行环境的清理操作，因此凡是打了ctyun.cn/imageaccelerateenabledtrue标签的节点切莫提前取消标签 命名空间或者镜像仓库已开启镜像加速，但上传镜像后没有加速镜像生成 1. 加速镜像转换需要一定耗时，镜像容量越大，例如转换耗时越长，转换 40GiB 的镜像大约耗时 30 分钟。 2. 镜像容量控制在60GiB以内，否则会增大转换失败的风险，镜像转换重新触发可重新执行镜像push操作，由于镜像之前已上传，因此push可快速完成。

本节介绍了容器镜像服务的计费说明。 个人版实例： 免费。 企业版实例： 包年包月和按需计费，支持订购和续订。 一套企业版实例费用包括：容器镜像服务企业版实例、对象存储ZOS、VPC终端节点。 注意 对象存储ZOS：由用户到对象存储控制台开通，具体费用参考ZOS计费说明。 VPC终端节点：目前是免费。 容器镜像服务企业版实例费说明： 计费项 包年包月（元/月） 按需（元/小时） 实例费 默认15个命名空间配额，1000个仓库配额 （必选） 564 0.97 每增加5个命名空间配额 （可选） 25 0.05 每增加1000个仓库配额 （可选） 100 0.21

errorDetail":{"message":"error parsing HTTP 404 response body: no error details found in HTTP response body 问题现象 ：使用客户端上传镜像，报如下所示错误： {"errorDetail":{"message":"error parsing HTTP 404 response body: no error details found in HTTP response body: "{"code":404,"message":"Not Found"}""},"error":"error parsing HTTP 404 response body: no error detail s found in HTTP response body: " 问题原因 ：连接不上镜像仓库，网络不通。 解决办法 ：请检查网络后重试。 内网访问 当您使用的安装容器引擎的客户端为云上的ECS或CCE节点，且机器与容器镜像仓库在同一区域时，上传下载镜像走内网链路。您无需进行任何访问配置，直接访问SWR即可。 公网访问 该场景下安装容器引擎的机器为云上的ECS或CCE节点，机器与容器镜像仓库不在同一区域，上传下载镜像走公网链路，机器需要绑定弹性公网IP。 为什么通过页面上传镜像失败？ SWR对镜像的命名和地址有严格的规范。如果镜像的命名不规范或镜像地址不规范都会导致镜像上传失败。 镜像格式不合法或鉴权失败 问题现象 ：通过页面上传镜像，出现“镜像格式不合法”或“鉴权失败”的报错。 问题原因 ：镜像地址不规范，导致上传失败。 镜像地址各个部分的含义如下，最后的tag（版本号）可省略，如果省略则表示latest版本，其余部分均不可省略，且不可多余。 样例：registry.cnjssz1.ctyun.cn/reponamespace/reponame:tag registry.cnjssz1.ctyun.cn为容器镜像服务的镜像仓库地址。 reponamespace为组织名称，命名正则表达式为^([az]+(?:(?:(?:[])[az09]+)+)?)$，长度范围为：164。 reponame:tag为镜像名称和版本号，镜像命名正则表达式为^([az09]+(?:(?:(?:[])[az09]+)+)?)$，长度范围为：1128。 您可以将镜像解压，打开文件manifest.json文件查看RepoTags字段的值是否符合上述规范。 解决方法 ：按照命名规范，重新给镜像打tag，然后使用docker save命令保存镜像，然后再使用页面上传。 注意 SWR判定镜像名是否合法不是以用户在界面上传镜像时的文件名为依据，而是依据镜像包中的repositories和manifest.json文件。

本文介绍了镜像p2p加速分发的用户指南。 概述 镜像 P2P 加速功能利用集群节点的带宽资源，在节点之间进行镜像分发，减少对容器镜像服务的压力，可以大幅提升镜像拉取速度，减少应用部署时间。 前置条件 安装 cubep2pacceleration 插件。 集群所使用的容器运行时为 containerd，且 containerd版本不低于1.6。 已创建容器镜像服务企业版实例。 使用步骤 安装插件 安装 cubep2pacceleration插件，目前有两种方式： 1. 登陆云容器引擎控制台，在 "插件" "插件市场" 中找到 cubep2pacceleration插件并安装。 2. 使用helm部署，参考命令： plaintext helm install RELEASENAME set keyvalue namespace kubesystem 重点推荐方式1。 配置参数 crsRegistries参数配置用户使用的容器镜像服务的内网实例地址，可配置多个，注意需要指定https协议。 注意 需要将样例修改为实际的实例地址，若实例地址配置不正确，则P2P加速插件无法加速对应的镜像拉取过程。 plaintext crsRegistries: " " persistence参数配置数据存储。 persistence.nodeNames指定集群中若干节点的名称用于进行本地数据存储，建议设置5个。 persistence.directoryPath指定节点本地的数据存储目录路径，每个节点目录空间不小于8G。 注意 需要将样例修改为实际的节点名称，否则会导致插件安装失败。 若指定节点发生故障，会影响P2P加速插件功能。 plaintext persistence: nodeNames: "ccsenodename1" "ccsenodename2" "ccsenodename3" "ccsenodename4" "ccsenodename5" directoryPath: /p2pdata P2P加速插件默认会占用每个节点的65001和40901端口进行请求代理和健康检查，可通过 proxyPort 和 healthCheckPort 参数修改对应端口。 plaintext 代理端口 proxyPort: 65001 健康检查端口 healthCheckPort: 40901

本节介绍了容器镜像服务实例系统账号的用户指南。 概述 系统账号可以按照命名空间维度配置读写权限，适合使用于 CI/CD 流水线和 Kubernetes 集群中。 前提条件 已开通容器镜像服务企业版实例 创建系统账号 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击访问控制 访问凭证 ，点击系统账号标签页。 4. 点击新建按钮创建系统账号. 参数 说明 名称 系统账号的名称。请注意，名称将自动增加 crs$ 前缀以标识系统账号，如名称填写 testaccount，则实际使用的名称为 crs$testaccount。 描述 系统账号的描述。 过期时间 可选永不过期或指定过期时间。 权限范围 配置覆盖全部命名空间或仅覆盖指定命名空间，若选择仅覆盖指定命名空间，则需要勾选指定的命名空间及其对应的权限类型。 权限类型 配置命名空间的只读或读写权限，只读权限不支持推送镜像。 5. 完成创建将弹出对话框展示系统账号名称和密码，请妥善保存，页面关闭后将无法再次查看。 6. 列表页可查看已创建的系统账号，操作栏的禁用/启用 按钮可以修改系统账号的启用状态，更新 按钮可以修改系统账号的配置，删除按钮可以删除系统账号。

本节介绍了容器镜像加签验签的用户指南。 概述 镜像签名功能保障镜像来源安全可靠，避免中间人攻击和非法镜像的更新与运行。CRS支持为命名空间的镜像自动加签，每次推送容器镜像后都会匹配加签规则自动加签，保障您的容器镜像内容可信。 镜像签名步骤 为命名空间下的镜像设置自动加签的步骤如下： 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择容器镜像仓库实例。 4. 在企业版实例管理页面的左侧菜单上选择"安全可信" "镜像签名"，点击左上角的创建镜像加签规则按钮。 5. 在弹出的对话框，填写镜像加签规则的，然后点击“确定”按钮，完成创建，界面各项参数说明如下表； 参数 是否必选 说明 命名空间 必选 选择需要自动加签的命名空间名称 使用默认私钥 非必选 加签时是否使用默认的私钥，勾选则表明使用默认私钥加签，若不勾选则表明使用自定义私钥，则需要往下录入自定义私钥的信息 私钥 非必选 如果上述"使用默认私钥"不勾选，则必须在此框填入自定义私钥的信息，可以将私钥直接贴入，或者从"文件导入"，私钥目前只支持长度位数是2048，格式为PKC8的RSA密钥 密码 非必选 如果创建RSA密钥对时有添加密码，则需要再此处填上，否则会影响加签执行 6. 创建完毕的规则会展示在镜像签名的列表中，可对签名规则进行编辑，如更换签名密钥等。 注意 1. 镜像加签不会影响镜像的常规使用，更不会影响镜像中原有的能力及业务功能。 2. 单个命名空间只能创建一个加签规则。 3. 如果是使用自定密钥，密钥对需要自行保存维护好，使用跟密钥对应的公钥方可验签成功。

概述 本文介绍使用docker、ctr、nerdctl推送和拉取镜像的方法。 使用docker推送和拉取容器镜像 1. 登录容器镜像服务实例 plaintext docker login usernametester testregistryhuadong1.crs.ctyun.cn 登录的用户名和密码为开通实例时设置的用户名和密码，如果忘记密码，可以在访问凭证页面重置密码。 2. 拉取镜像 plaintext docker pull testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 3. 推送镜像 plaintext docker tag testregistryhuadong1.crs.ctyun.cn/nstest/repotest: docker push testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 4. 示例 使用docker images命令查看本地镜像 plaintext docker images REPOSITORY TAG IMAGE ID CREATED SIZE busybox latest b539af69bc01 7 weeks ago 4.86MB 使用docker tag命令重命名镜像 plaintext docker tag b539af69bc01 testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 使用docker push命令推送镜像 plaintext docker push testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 使用ctr推送和拉取容器镜像 1. 拉取镜像 plaintext ctr image pull user tester testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 2. 推送镜像 plaintext ctr image tag testregistryhuadong1.crs.ctyun.cn/nstest/repotest: ctr image push user tester testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 3. 示例 使用ctr image ls命令查看本地镜像 plaintext ctr image ls REF TYPE DIGEST SIZE PLATFORMS LABELS docker.io/library/busybox:latest application/vnd.docker.dist... sha256:3fbc632167424... 2.1 MiB linux/amd6 使用ctr image tag命令重命名镜像 plaintext ctr image tag docker.io/library/busybox:latest testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 使用ctr image push命令推送镜像 plaintext ctr image push user tester testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1

本章节介绍如何通过镜像部署微服务应用到容器 概述 在微服务云应用平台中接入您的应用进行发布，所支持的介质类型大体上可分为制品（JAR/WAR/TAR包等）、镜像等，您可以按实际需求选择接入的方式。 本文介绍如何通过镜像部署微服务应用到容器。 通过镜像部署微服务应用到容器 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 3. 您已订购一个nacos注册中心实例 创建环境和导入资源 在左侧导航栏，选择环境管理。在环境列表左上角点击创建环境。环境创建好后，将云容器引擎和nacos注册中心导入到环境中。 创建项目和应用 在左侧导航栏，选择应用列表。在应用列表点击新增项目。展开新增完成的项目，在应用管理下创建应用，技术栈选择 SpringCloud。 项目关联环境 展开项目，在环境管理下将步骤1创建的环境关联上。 创建容器应用实例并部署 基本信息 项目/应用：步骤2创建的应用 应用实例名称：无需修改，使用默认名称即可 技术栈版本：选择1.0.0j180jar 接入方式：选择镜像 应用实例版本：无需修改，使用默认版本即可 企业项目：选择default 部署配置 选择集群：选择步骤1导入到环境中的云容器引擎 镜像类型：选择Demo镜像（支持自购镜像仓库、Demo镜像和MSAP仓库镜像） 选择镜像：选择springcloudprovidernacos.jar镜像使用1.0.0版本 完成以上信息填写后，点击下一步进入到预览页面，确认信息无误后，点击创建按钮，完成应用实例创建。 应用实例创建完成后，直接点击查看实例详情按钮，到实例详情页面。点击上方发布应用实例按钮，进入到应用发布界面。点击右下角发布按钮，进入到发布单详情界面。等待发布单完成初始化后再点击发布按钮进行应用发布。应用开始发布后，可点击应用实例发布单，查看应用发布具体信息。

本文主要介绍容器基本信息。 工作负载是Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，一个Pod可以封装1个或多个容器，您可以单击右上方的“添加容器”，添加多个容器镜像并分别进行设置。 表 镜像参数说明 参数 说明 容器名称 为容器命名。 镜像名称 单击后方“选择镜像”，选择容器使用的镜像。如果需要使用第三方镜像，请参见如何使用第三方镜像。 镜像版本 选择需要部署的镜像版本。 更新策略 镜像更新/拉取策略。可以勾选“总是拉取镜像”，表示每次都从镜像仓库拉取镜像；如不勾选则优使用节点已有的镜像，如果没有这个镜像再从镜像仓库拉取。 CPU配额 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。申请和限制的具体请参见设置容器规格。 GPU配额 当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 不限制：表示不使用GPU。 独享：单个容器独享GPU。 共享：容器需要使用的GPU百分比，例如设置为10%，表示该容器需使用GPU资源的10%。 NPU配额 使用NPU芯片（昇腾D310）的数量，必须为整数。必须安装NPU插件后才能使用。 特权容器 特权容器是指容器里面的程序具有一定的特权。若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 初始化容器 选择容器是否作为初始化容器。Init 容器是一种特殊容器，在 Pod 内的应用容器启动之前运行。详细说明请参见Init 容器。

本节介绍了免密拉取镜像的用户指南。 概述 安装免密拉取插件cubecredentialhelper，可以使云容器引擎集群免密拉取容器镜像服务企业版和个人版的私有镜像，简化工作负载的发布流程。 安装步骤 1. 登录云容器引擎控制台。 2. 左侧导航栏点击"集群"。 3. 在集群管理页面点击已有集群名称进入集群信息页面。 4. 左侧导航栏点击"插件" "插件市场"，在页面中找到cubecredentialhelper插件并安装。 使用步骤 前置条件 已创建容器镜像服务实例。 配置参数 namespaces和serviceAccounts参数指定插件生效的命名空间和serviceAccount。 plaintext 使免密拉取插件作用于集群指定的Namespace 默认值为"default"。当取值为""时，表示期望所有Namespace均能免密拉取。如需配置多个Namespace时，以英文半角逗号（,）分隔。 namespaces: "default" 使免密拉取插件作用于集群指定的ServiceAccount 默认值为"default"。当取值为""时， 表示支持指定命名空间下的所有ServiceAccount。如需配置多个ServiceAccount时,以英文半角逗号（,）分隔。 serviceAccounts: "default" credentials参数指定镜像拉取凭证，注意需要填写实际的CRS实例的内网地址、用户名和密码，否则免密拉取插件不生效。 plaintext 镜像拉取凭证，支持配置多个。需要将以下样例中的CRS实例的内网地址、用户名和密码替换为实际值。 credentials: registry: "registryhuadong1.crsinternal.ctyun.cn" CRS实例的内网地址 username: "username" CRS实例的用户名 password: "password" CRS实例的密码

本节介绍了免密拉取镜像的用户指南。 概述 安装免密拉取插件cubecredentialhelper，可以使云容器引擎集群免密拉取容器镜像服务企业版和个人版的私有镜像，简化工作负载的发布流程。 安装步骤 1. 登录云容器引擎控制台。 2. 左侧导航栏点击"集群"。 3. 在集群管理页面点击已有集群名称进入集群信息页面。 4. 左侧导航栏点击"插件" "插件市场"，在页面中找到cubecredentialhelper插件并安装。 使用步骤 前置条件 已创建容器镜像服务实例。 配置参数 namespaces和serviceAccounts参数指定插件生效的命名空间和serviceAccount。 plaintext 使免密拉取插件作用于集群指定的Namespace 默认值为"default"。当取值为""时，表示期望所有Namespace均能免密拉取。如需配置多个Namespace时，以英文半角逗号（,）分隔。 namespaces: "default" 使免密拉取插件作用于集群指定的ServiceAccount 默认值为"default"。当取值为""时， 表示支持指定命名空间下的所有ServiceAccount。如需配置多个ServiceAccount时,以英文半角逗号（,）分隔。 serviceAccounts: "default" credentials参数指定镜像拉取凭证，注意需要填写实际的CRS实例的内网地址、用户名和密码，否则免密拉取插件不生效。 plaintext 镜像拉取凭证，支持配置多个。需要将以下样例中的CRS实例的内网地址、用户名和密码替换为实际值。 credentials: registry: "registryhuadong1.crsinternal.ctyun.cn" CRS实例的内网地址 username: "username" CRS实例的用户名 password: "password" CRS实例的密码

接口功能介绍 更新镜像命名空间 接口约束 无 URI POST /v2/updateNamespace 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看容器镜像服务资源池获取） bb9fdb42056f11eda1610242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID f04e47d9b48747958c9f4516cf1a8d82 namespaceName 是 String 命名空间名称 myns createRepoAuto 否 Boolean 是否允许直接通过推送镜像创建仓库 false defaultRepoPublic 否 Boolean 通过推送镜像创建的仓库的类型是否为公开。只有在设置createRepoAuto为true时该参数才生效 false accelerate 否 Boolean 是否开启镜像加速。用户需要开通云容器引擎集群后才能设置为true，并且仅对企业版实例生效 false 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 响应码 （800为请求成功，900为失败 ） 800 message String 返回信息 error String 错误码 returnObj Boolean 更新是否成功 true

本节主要介绍计费模式 容器镜像服务目前商用免费。

本文主要介绍应用场景 镜像生命周期管理 提供镜像构建、镜像上传、下载、同步、删除等完整的生命周期管理能力。 优势 •高可靠的存储：依托专业存储服务，确保镜像存储的超高可靠性。 •更安全的存储：细粒度的授权管理，让用户更精准的控制镜像访问权限。 建议搭配使用 云容器引擎CCE

本小节介绍镜像、容器、应用的关系。 镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）。镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器和镜像的关系，像程序设计中的实例和类一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。 一个镜像可以启动多个容器。 应用可以包含一个或一组容器。

制作容器镜像 本节指导您通过Dockerfile定制一个简单的Web应用程序的容器镜像。Dockerfile是一个文本文件，其内包含了若干指令（Instruction），每一条指令构建一层，因此每一条指令的内容，就是描述该层应当如何构建。 使用Nginx镜像创建容器应用，在浏览器访问时则会看到默认的Nginx欢迎页面，本节以Nginx镜像为例，修改Nginx镜像的欢迎页面，定制一个新的镜像，将欢迎页面改为“Hello, SWR!”。 步骤 1 以root用户登录容器引擎所在机器。 步骤 2 创建一个名为Dockerfile的文件。 mkdir mynginx cd mynginx touch Dockerfile 步骤 3 编辑Dockerfile。 vim Dockerfile 增加文件内容如下： FROM nginx RUN echo ' Hello, SWR! ' > /usr/share/nginx/html/index.html Dockerfile指令介绍如下。 FROM语句：表示使用nginx镜像作为基础镜像，一个Dockerfile中FROM是必备的指令，并且必须是第一条指令。 RUN语句：格式为RUN ，表示执行echo命令，在显示器中显示一段“Hello, SWR!”的文字。 按“Esc”，输入 :wq ，保存并退出。 步骤 4 使用docker build [ 选项 ] 构建镜像。 docker build t nginx:v1 . t nginx:v1：指定镜像的名称和版本。 . ：指定Dockerfile所在目录，镜像构建命令将该路径下所有的内容打包给容器引擎帮助构建镜像。 步骤 5 执行以下命令，可查看到已成功部署的nginx镜像，版本为v1。 docker images

场景 授权项 说明 使用自定义镜像 SWR Admin SWR Admin：容器镜像服务（SWR）管理员，拥有该服务下的所有权限。 如何创建自定义镜像，请参见 挂载sfs turbo文件系统 SFS Administrator或Tenant administrator SFS Administrator：弹性文件服务（SFS）管理员，拥有该服务下的所有权限。 Tenant administrator：全部云服务管理员（除IAM管理权限），拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。 挂载ECS共享目录 Tenant Guest及VPC Administrator Tenant Guest：全部云服务只读权限（除IAM权限）VPC Administrator：网络管理员需要给函数设置委托至少拥有Tenant Guest以及VPC Administrator权限。 配置跨域VPC访问 VPC Administrator 拥有VPC Administrator权限的用户可以对VPC内所有资源执行任意操作。 在函数配置跨VPC访问时，则函数必须配置具备VPC管理权限的委托。

天翼云容器镜像服务协议，详情请参见这里。

先上传镜像至容器镜像服务仓库，然后才能做manifest docker push registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 docker push registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 创建双架构manifest文件并上传。 创建镜像manifest文件 docker manifest create amend insecure registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 如果镜像在之前制作中没有添加架构信息，需要给镜像manifest文件添加arch信息 docker manifest annotate registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 arch amd64 docker manifest annotate registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 arch arm64 向容器镜像服务仓库推送镜像manifest docker manifest push p insecure registrycrshuadong1.ctyun.cn/library/nginx:1.5 用户在使用时只需要image中填写registrycrshuadong1.ctyun.cn/library/nginx:1.5这个镜像地址， 当Pod调度到 x86 架构的节点时，会拉取registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64这个镜像； 当Pod调度到ARM架构的节点时，会拉取registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64这个镜像。