总体介绍

伴随着云原生理念的崛起，容器镜像的使用量和使用频次呈现出爆发式的增长，从可用性、稳定性等各方面考虑CCR个人版都无法承载目前企业客户的使用需求 ，因此CCR团队已经于2024年初 关闭CCR个人版新建入口，并计划逐步推动个人版服务下线工作。同时也提供了更加稳定易用的 容器镜像服务CCR企业版。

本文用于指导用户将CCR个人版中存量的镜像迁移到CCR企业版实例，并基于CCR企业版服务中的容器镜像部署服务。

前提：创建企业版实例并配置访问策略

1. 开通CCR服务并配置IAM访问权限

在百度智能云控制台中选择产品服务 > 容器镜像服务CCR进入容器镜像服务控制台，请按照页面提示开通容器镜像服务并为关联服务授权（需要同步开通BOS服务）。

开通服务需要主账号或拥有系统管理员的子用户。 子用户登录操作，需要配置IAM访问权限。登录云控制台，鼠标移到右上角头像处，进入多用户访问控制>子用户。在子用户管理列表中，点击添加权限，为子用户进行授权，在编辑权限中选择相应的策略后，单击确定按钮即可为该用户授予对应权限。

CCR控制台权限：CCRFullControlPolicy 企业版CCR目前提供三种种IAM系统策略：ECCRReadAccessPolicy（只读访问企业版CCR权限）、ECCROperateAccessPolicy（运维操作权限）和ECCRFullControlAccessPolicy（完全控制权限），分别对应企业版CCR的不同访问级别。 子用户的权限受直接被赋予的策略控制，同时也会继承来自组的权限策略 备注：操作CCR企业版要同时授予CCRFullControlPolicy和ECCRFullControlAccessPolicy权限。

2. 创建CCR企业版实例

在百度智能云控制台中选择产品服务 > 容器镜像服务CCR进入容器镜像服务控制台，选择 企业版 > 新建实例。

按照业务实际需求切换对应的地域和实例规格。不同规格的实例功能覆盖和分发性能有所差异，详细请参考：CCR企业版实例规格差异

3. 配置网络访问策略

企业版实例创建成功后，进入实例详情选择【访问控制】菜单，配置私有网络或公网访问，详细操作参考：网络访问控制

• 私有网络：将预期需要访问CCR的vpc子网关联。

• 公网：开启公网访问入口，并按需添加公网白名单ip。如果想允许全部来源IP公网访问配置：0.0.0.0/0

4. 配置访问凭据

在做完网络访问策略配置以后，进入【访问凭据】菜单，设置固定密码（docker login使用的密码）才可以访问CCR实例，详细操作参考：配置访问凭据

tips：在配置完成以后，在自己的机器上执行docker login 能成功表示配置正确。

5. 创建命名空间

进入实例详情选择【命名空间】菜单，创建新的命名空间。详细操作参考：管理命名空间

存量镜像迁移

前置准备：查询CCR个人版中待迁移的镜像和用户名密码

• 查询待迁移镜像：进入CCR个人版【镜像列表】 菜单，查看存量的镜像列表和所在的命名空间。

• 用户名密码：进入CCR个人版【访问凭据】 菜单，配置固定密码或创建临时密码。

注：请确保配置的密码有权限拉取待迁移的镜像，建议使用当前用户名密码尝试拉取待迁移的镜像，如无权限会影响后续的迁移任务。

镜像迁移到CCR企业版步骤

步骤一：配置镜像迁移源仓库

进入CCR企业版 【实例管理 > 镜像迁移】 菜单，选择 仓库授权 页签后 添加源仓库，在弹出页面中配置CCR个人版作为源仓库。镜像迁移的详细操作参考 CCR企业版镜像迁移功能使用

• 来源： 选择Harbor。
• 名称&描述：按实际情况随意填写。
• 服务地址：保持默认的 https://registry.baidubce.com。
• 用户名&密码：填写前一步骤中在CCR个人版控制台配置的用户名密码。
• 远程证书验证：保持默认【是】。

注意：添加源仓库步骤只能校验填写的用户名密码是否可以联通CCR个人版，无法确保有权限拉取指定镜像。请确保填写的用户名密码有权限拉取待迁移的镜像，如无权限会影响后续的迁移任务。

步骤二：创建镜像迁移规则

进入CCR企业版 【实例管理 > 镜像迁移】 菜单，选择 迁移任务 页签后 创建迁移规则，在弹出页面中配置迁移规则。

• 规则名称&描述：按实际情况随意填写。
• 源仓库：选择前一步骤中配置的CCR个人版源仓库
• 资源筛选>名称：按照 命名空间/仓库 的规则书写，支持正则匹配。例如：迁移cce-demo/** 表示空间cce-demo下的所有镜像 。
• 资源筛选>版本：镜像版本Tag规则，支持正则匹配。若不填则表示迁移镜像仓库中的所有版本。
• 目的命名空间：镜像迁移到CCR企业版实例以后保存的命名空间。
• 覆盖：如目的命名空间下已有同名镜像，是否允许覆盖。

步骤三：触发镜像迁移动作

进入CCR企业版 【实例管理 > 镜像迁移】 菜单，在迁移规则列表列点击 【立即迁移】 触发镜像迁移任务。同时在弹出的抽屉中可以查看迁移进度详情。

步骤四：在CCR企业版中查看迁移过来的镜像列表

进入CCR企业版 【仓库管理 > 镜像仓库】 菜单，选中对应的命名空间后，即可查看迁移过来的镜像列表。

镜像迁移到CCR企业版后的使用

在百度云VPC环境（如CCE集群）访问CCR企业版

步骤一：CCR企业版实例配置私有网络访问

在CCE集群里使用CCR镜像，推荐配置私有网络访问。

1. 登录容器引擎CCE控制台，在顶部菜单栏，选择所需地域并查看企业版集群管理>集群列表。
2. 点击集群名称进入CCE集群详情页面，查看cce集群的节点网络。

3. 在CCR控制台实例详情选择 仓库管理>访问控制 ，默认进入私有网络配置页面。

• 私有网络：选择CCE集群所在的私有网络。
• 子网：选择任意一个有可用ip的子网。
• ip地址和自动解析保持默认自动模式。

点击确定保存后，等待几秒钟生效。当状态变为可用以后，表示私有网络配置完成。

更多关于CCR企业版私有网络的操作参考：私有网络访问控制

步骤二：CCE集群创建工作负载

在CCE集群里使用CCR镜像部署工作负载，推荐使用私有网络地址访问镜像。

1. 在CCE控制台集群页面选择 工作负载>无状态 ，进入工作负载页面。

2. 点击新建无状态或使用Yaml创建，进入工作负载创建页面

注：CCE集群内使用私有镜像仓库访问凭证配置参考 私有镜像使用实践；同时CCE支持免密拉取CCR镜像，需要安装CCE免密组件

3. 查看工作负载运行情况

在CCE控制台工作负载页面，可以查看工作负载运行情况，以及工作负载使用的镜像等信息

在公网访问CCR企业版

在公网环境，使用CCR实例的公网域名访问，注意需要先配置公网访问白名单。

在机器上执行docker login/pull/push等命令。更多操作参考：使用CCR企业版推送拉取镜像