CCR个人版存量镜像迁移CCR企业版
概述
伴随着云原生理念的崛起,容器镜像的使用量和使用频次呈现出爆发式的增长。出于可用性、稳定性等方面的考虑,CCR 个人版已经无法承载企业客户的使用需求。CCR 团队已经于 2024 年初 关闭CCR个人版新建入口,并计划逐步推动个人版服务下线工作。同时,也提供了更加稳定易用的 容器镜像服务CCR企业版。
本文档介绍如何将 CCR 个人版中的存量镜像迁移到 CCR 企业版实例,并基于 CCR 企业版服务中的容器镜像部署服务。
前提条件
- 需使用主账号或具备系统管理员权限的子用户开通 CCR 服务,并同步开通 BOS 服务。
- 子用户操作前,需完成 IAM 授权;如需登录控制台继续后续操作,还需提前完成手机号绑定,并确认具备 CCR 企业版与 CCE 控制台权限。
- 开始“存量镜像迁移”和“镜像迁移到 CCR 企业版后的使用”前,请先完成本文“前提:创建企业版实例并配置访问策略”中的基础配置。## 前提:创建企业版实例并配置访问策略
1. 开通 CCR 服务并配置 IAM 访问权限
导航路径:产品服务->容器镜像服务 CCR
在 百度智能云控制台 中,进入 【产品服务->容器镜像服务 CCR】,按照页面提示开通容器镜像服务并为关联服务授权,需要同步开通 BOS 服务。
说明: 开通服务需要主账号或拥有系统管理员权限的子用户。子用户登录操作前,需要配置 IAM 访问权限。登录 云控制台,进入 【多用户访问控制->子用户】,在子用户管理列表中点击 【添加权限】,为子用户授予所需策略。
CCR 控制台权限为 CCRFullControlPolicy。CCR 企业版目前提供三种 IAM 系统策略:ECCRReadAccessPolicy、ECCROperateAccessPolicy 和 ECCRFullControlAccessPolicy,分别对应 CCR 企业版的不同访问级别。子用户的权限受直接被赋予的策略控制,同时也会继承来自组的权限策略。
说明: 操作 CCR 企业版时,需要同时授予
CCRFullControlPolicy和ECCRFullControlAccessPolicy权限。
2. 创建 CCR 企业版实例
导航路径:产品服务->容器镜像服务 CCR->企业版
在 百度智能云控制台 中,进入 【企业版】,点击 【新建实例】。
按照业务实际需求选择对应的地域和实例规格。不同规格的实例在功能覆盖和分发性能上有所差异,详细请参考 CCR企业版实例规格差异。
3. 配置网络访问策略
导航路径:企业版->实例详情->访问控制
企业版实例创建成功后,进入实例详情页,选择 【访问控制】,配置私有网络或公网访问。详细操作请参考 网络访问控制。
私有网络: 关联预期需要访问 CCR 的 VPC 子网。
公网: 开启公网访问入口,并按需添加公网白名单 IP。如果希望允许全部来源 IP 访问,可配置为 0.0.0.0/0。
4. 配置访问凭据
导航路径:企业版->实例详情->访问凭据
完成网络访问策略配置后,进入 【访问凭据】,设置固定密码后即可访问 CCR 实例。详细操作请参考 配置访问凭据。
完成配置后,可在本地执行 docker login。执行成功表示访问凭据配置正确。
5. 创建命名空间
导航路径:企业版->实例详情->命名空间
进入实例详情页,选择 【命名空间】,创建新的命名空间。详细操作请参考 管理命名空间。
存量镜像迁移
前置准备:查询 CCR 个人版中待迁移的镜像和用户名密码
导航路径:CCR 个人版->镜像列表
进入 CCR 个人版 【镜像列表】,查看存量镜像列表和所在命名空间。
导航路径:CCR 个人版->访问凭据
进入 CCR 个人版 【访问凭据】,配置固定密码或创建临时密码。
注意: 请确保配置的密码有权限拉取待迁移的镜像。建议使用当前用户名和密码尝试拉取目标镜像,如无权限会影响后续迁移任务。
镜像迁移到 CCR 企业版步骤
步骤一:配置镜像迁移源仓库
导航路径:企业版->实例管理->镜像迁移->仓库授权
进入 CCR 企业版 【实例管理->镜像迁移】,选择 【仓库授权】 页签后点击 【添加源仓库】,在弹出页面中配置 CCR 个人版作为源仓库。镜像迁移的详细操作请参考 CCR企业版镜像迁移功能使用。
| 参数 | 必填 | 说明 |
|---|---|---|
| 来源 | 是 | 选择 Harbor。 |
| 名称 | 是 | 按业务含义填写,便于区分不同源仓库。 |
| 描述 | 否 | 按需填写源仓库用途说明。 |
| 服务地址 | 是 | 保持默认服务地址 https://registry.baidubce.com。 |
| 用户名 | 是 | 填写在 CCR 个人版控制台配置的访问用户名。 |
| 密码 | 是 | 填写与用户名对应的访问密码。 |
| 远程证书验证 | 是 | 保持默认配置 【是】。 |
注意: 添加源仓库步骤只能校验填写的用户名和密码是否可以连通 CCR 个人版,无法确保有权限拉取指定镜像。请确保填写的用户名和密码有权限拉取待迁移的镜像,如无权限会影响后续迁移任务。
步骤二:创建镜像迁移规则
导航路径:企业版->实例管理->镜像迁移->迁移任务
进入 CCR 企业版 【实例管理->镜像迁移】,选择 【迁移任务】 页签后点击 【创建迁移规则】,在弹出页面中配置迁移规则。
| 参数 | 必填 | 说明 |
|---|---|---|
| 规则名称 | 是 | 按业务含义填写,便于区分不同迁移规则。 |
| 描述 | 否 | 按需填写迁移规则用途说明。 |
| 源仓库 | 是 | 选择已配置完成的 CCR 个人版源仓库。 |
| 资源筛选->名称 | 是 | 按 命名空间/仓库 规则填写,支持正则匹配,可用于筛选指定命名空间或仓库。 |
| 资源筛选->版本 | 否 | 填写镜像版本 Tag 规则,支持正则匹配;留空时表示迁移匹配仓库中的全部版本。 |
| 目的命名空间 | 是 | 选择镜像迁移到 CCR 企业版实例后保存的命名空间。 |
| 覆盖 | 否 | 配置目的命名空间下已有同名镜像时是否允许覆盖。 |
步骤三:触发镜像迁移动作
导航路径:企业版->实例管理->镜像迁移->迁移任务
在迁移规则列表中点击 【立即迁移】,触发镜像迁移任务。同时,可在弹出的抽屉中查看迁移进度详情。
步骤四:在 CCR 企业版中查看迁移过来的镜像列表
导航路径:企业版->仓库管理->镜像仓库
进入 CCR 企业版 【仓库管理->镜像仓库】,选中对应的命名空间后,即可查看迁移过来的镜像列表。
镜像迁移到 CCR 企业版后的使用
在百度云 VPC 环境(如 CCE 集群)访问 CCR 企业版
在百度云 VPC 环境中使用 CCR 镜像时,推荐优先配置私有网络访问。
步骤一:CCR 企业版实例配置私有网络访问
导航路径:容器引擎 CCE->企业版集群管理->集群列表
登录 容器引擎CCE控制台,选择所需地域后,查看 【企业版集群管理->集群列表】。
点击 【集群名称】 进入 CCE 集群详情页,查看 CCE 集群的节点网络。
导航路径:产品服务->容器镜像服务 CCR->企业版->实例详情->访问控制
在 CCR 控制台实例详情页选择 【访问控制】,默认进入私有网络配置页面。
| 参数 | 必填 | 说明 |
|---|---|---|
| 私有网络 | 是 | 选择 CCE 集群所在的私有网络。 |
| 子网 | 是 | 选择任意一个有可用 IP 的子网。 |
| IP 地址 | 否 | 保持默认自动模式。 |
| 自动解析 | 否 | 保持默认自动模式。 |
点击 【确定】 保存后,等待几秒钟生效。当状态变为 【可用】 时,表示私有网络配置完成。更多关于 CCR 企业版私有网络的操作,请参考 私有网络访问控制。
步骤二:CCE 集群创建工作负载
导航路径:容器引擎 CCE->工作负载->无状态
在 CCE 集群中使用 CCR 镜像部署工作负载时,推荐使用 CCR 企业版实例的私有网络地址访问镜像。
在 CCE 控制台集群页面,进入 【工作负载->无状态】。
点击 【新建无状态】 或 【使用Yaml创建】,进入工作负载创建页面。
说明: CCE 集群内使用私有镜像仓库访问凭据配置,请参考 私有镜像使用实践;同时,CCE 支持免密拉取 CCR 镜像,需要 安装CCE免密组件。
步骤三:查看工作负载运行情况
导航路径:容器引擎 CCE->工作负载
在 CCE 控制台工作负载页面,可以查看工作负载运行情况,以及工作负载使用的镜像等信息。
在公网访问 CCR 企业版
导航路径:产品服务->容器镜像服务 CCR->企业版->实例详情->访问控制
在公网环境中,使用 CCR 实例的公网域名访问前,需要先开启公网访问入口并配置公网访问白名单,确保当前出口 IP 已命中白名单。
完成公网访问控制配置后,可在本地使用已配置的访问凭据执行 docker login、docker pull、docker push 等命令。更多操作请参考 使用CCR企业版推送拉取镜像。
评价此篇文章