企业版快速入门
本文将介绍如何从零开始,购买容器镜像服务企业版实例,并配置网络访问策略,最终实现容器镜像的推送及拉取。
步骤一:注册百度智能云账号
注册百度智能云账号,并完成实名认证。如果您已在百度智能云注册,可忽略该步骤。
步骤二:开通容器镜像服务
在百度智能云控制台中选择产品服务 > 容器镜像服务CCR进入容器镜像服务控制台,请按照页面提示开通容器镜像服务并为关联服务授权。
说明
开通服务需要主账号或拥有系统管理员的子用户。
步骤三:购买企业版实例
每个容器镜像服务实例均具有独立的服务后端及后端存储,您需要购买容器服务实例来管理容器镜像等OCI制品。
- 登录容器镜像服务控制台,进入“实例列表”页面。
-
单击创建实例,在“新建实例”页面,完成以下配置,并单击下一步。
配置项 必选/可选 配置说明 地域 必选 选择想要部署实例所在的地域,实例创建后无法更改,您可以根据容器集群所在地进行选择。 实例规格 必选 不同规格的实例支持的资源配额和功能不同,您可以根据需求选择,详情请参见规格说明。 实例名称 必选 输入自定义实例名称,实例创建后无法更改。 后端存储 必选 创建实例时系统默认会在您的账号下创建对象存储BOS Bucket用于存储实例内的镜像等数据。请避免直接删除Bucket,否则实例托管的数据将无法找回。 - 在“确认配置”页面单击完成创建已选配置的企业版实例。
- 您可以在“实例列表”页面查看实例状态,当实例状态变为“运行中”时表示当前实例已成功创建并处于可用状态。
步骤四:配置网络访问控制
为保护容器镜像数据的安全,企业版实例默认拒绝全部公网以及私有网络访问。访问实例前需要先配置网络访问控制。
配置私有网络访问控制(推荐)
建议通过私有网络访问方式推送、拉取容器镜像,可明显提升推送、拉取速度,并避免产生公网流量成本。同时,您可通过管理私有网络访问链路,指定可以访问您镜像数据的私有网络VPC,保障数据安全。
- 在“实例列表”页面单击目标实例ID进入实例管理页面。
- 在左侧导航栏中单击访问控制 > 私有网络进入“私有网络”管理页面。
-
单击添加私有网络,在弹出框中配置私有网络、子网等信息:
配置项 必选/可选 配置说明 私有网络 必选 选择实例所在地域下可用的私有网络进行打通。 子网 必选 请选择该私有网络下IP仍有空余的子网 IP地址 必选 自动分配:系统将随机指定子网内未分配的IP地址作为实例内网解析的IP。
手动指定:系统将使用您指定的子网中的IP地址作为实例内网解析的IP。自动解析 必选 自动域名解析开关。默认开启,开启后系统将自动进行域名解析,若未开启您需要自行进行域名解析。此处选择开启。 - 完成配置后单击确定,系统将会打通私有网络与实例的访问链路,待到列表中“状态”属性变为“可用”表示访问链路已打通。
配置公网访问控制
- 在左侧导航栏中单击访问控制 > 公网进入“公网”管理页面。
-
单击公网访问入口开关开启公网访问入口。
说明
等到公网访问入口开关状态变为“开启”后,则表明入口已开启,此时您可以添加白名单,若开关处于“关闭”状态,则已配置的白名单也将失效,无法访问企业版实例。
-
单击添加白名单,在弹出框中完成IP地址或IP地址段和备注信息配置:
- 配置完成后单击确定,该访问白名单即被添加,并且在公网访问入口开启的状态下生效。
步骤五:创建命名空间
- 在左侧导航栏中单击命名空间进入“命名空间”管理页面。
-
单击创建命名空间,在弹出框中完成以下名称、访问类型配置:
- 单击确定按钮即可完成创建命名空间。
步骤六:设置访问实例密码
在推送、拉取镜像前需要设置实例访问密码,此处设置的访问密码为docker login的密码。
- 在左侧导航栏中单击访问凭据进入“访问凭据”页面。
- 单击重置密码或创建临时密码设置访问实例长期访问凭证和临时访问凭证。
步骤七:推送拉取镜像
该步骤您需要使用一台安装Docker的云服务器或物理机,并确保访问实例的Docker客户端已在步骤四:配置网络访问控制定义的私有网络或公网允许访问范围内。
本文将介绍通过公网环境将本地Nginx镜像推送至实例镜像仓库中,其中实例ID为ccr-xxxxxxxx
,命名空间为sapce-test
,镜像仓库为Nginx
,镜像版本为v1.0
。
-
在终端中执行登录容器镜像服务的命令,示例如下:
输入您设置的访问实例密码,显示
Login Succeeded
即表示登录成功。docker login --username=<百度智能云用户名> <实例ID>-<公网或私有网络访问域名>
示例:
docker login --username=yxxlxxx ccr-xxxxxxxx-pub.cnc.gz.baidubce.com
说明
请根据Docker客户端所在环境的公网或私有网络访问域名,否则可能导致登录失败。您可以在控制台访问凭证直接复制登录实例的命令。
-
执行以下命名标记本地Nginx镜像,对应镜像ID为
9e7072965260
。docker tag [ImageID] <实例ID>-<公网或私有网络访问域名>/<命名空间名称>/<镜像仓库名称>:[镜像版本号]
示例:
docker tag 9e7072965260 ccr-xxxxxxxx-pub.cnc.gz.baidubce.com/sapce-test/Nginx:v1.0
-
执行以下命令将标记的本地Nginx镜像推送至实例镜像仓库中。
docker push <实例ID>-<公网或私有网络访问域名>/<命名空间名称>/<镜像仓库名称>:[镜像版本号]
示例:
docker push ccr-xxxxxxxx-pub.cnc.gz.baidubce.com/sapce-test/Nginx:v1.0
说明
推送镜像时容器镜像服务控制台将根据推送命令中 <镜像仓库名称> 自动创建对应的镜像仓库,已有镜像仓库则不会创建。
-
执行以下命令将已成功推送的Nginx镜像拉取到本地。
docker pull <实例ID>-<公网或私有网络访问域名>/<命名空间名称>/<镜像仓库名称>:[镜像版本号]
示例:
docker pull ccr-xxxxxxxx-pub.cnc.gz.baidubce.com/sapce-test/Nginx:v1.0