為Docker Trusted Registry設定OSS物件隱藏

摘要： Docker Trusted Registry 是Docker企業版的重要組成部分，可以支援容器鏡像管理，認證授權、安全掃描、數位簽章等能力。本文將介紹如何在DTR中設定OSS作為隱藏後端實現。

關於

Docker Trusted Registry（DTR）是Docker企業版的重要組成部分，可以部署在企業專有雲環境中，提供容器鏡像管理，認證授權、安全掃描、數位簽章等能力。

Docker鏡像管理需要使用大量的隱藏資源，採用本機存放區無法滿足使用者對容量和可用工時的需求。DockerRegistry已經內建了對阿裡雲物件隱藏服務（OSS）的支援，為鏡像管理提供一個支援海量資料存放區，高性能存取，高可用，安全，低成本，無需運維的隱藏後端。本文將介紹如何在DockerTrusted Registry 中設定OSS作為隱藏後端實現。

設定說明

先決條件

• 已經開通OSS服務，並且為鏡像隱藏提供一個bucket
• 已經建立Docker企業版集群

設定
在DTR主控台，點選Settings -> Storage -> YAML file

點選Download YAML

修改YAML file 的storage部份，將filesystem部份取代為OSS 隱藏設定，其他部份不變

oss:

accesskeyid: {access-key-id}

accesskeysecret: {access-key-secret}

bucket: {bucket}

endpoint: {bucket-endpoint}

region: {bucket-region}

Bucket 端點設定

• VPC內網網域名稱:<bucket>.vpc100-oss-cn-hangzhou.aliyuncs.com
• 經典網路內網網域名稱:<bucket>.oss-cn-hangzhou-internal.aliyuncs.com
• 外網網域名稱:<bucket>.oss-cn-hangzhou.aliyuncs.com

參考storage.yml檔案如下

version: "0.1"

log:

level: debug

formatter: json

storage:

delete:

enabled: true

maintenance:

readonly:

enabled: false

oss:

accesskeyid: xxxxxx

accesskeysecret: xxxxxx

bucket: aliyungo

endpoint: aliyungo.oss-cn-hangzhou.aliyuncs.com

region: oss-cn-hangzhou

auth:

token:

issuer: 120.26.166.168

realm: https://120.26.166.168/auth/token

rootcertbundle: /config/token_roots.pem

service: 120.26.166.168

middleware:

repository:

- name: metadata

options: {}

- name: events

options: {}

storage:

- name: upstream

options:

host: https://120.26.166.168

key: /config/content-cache-key.pem

http:

addr: :5000

secret: xxxxxx

tls:

certificate: /config/registry_server-cert.pem

key: /config/registry_server-key.pem

clientcas:

- /config/registry_ca-cert.pem

點選Upload，上層修改過的YAML 檔案

如果成功更新會出現如下通知

注意

• OSS 網域名稱設定需要和存取DTR方式保留一致：比如需要在VPC內網存取，需要設定VPC的存取端點
• 社群版 Docker Registry中OSS設定說明，請參考https://yq.aliyun.com/articles/57310

Docker 企業版在中國由阿裡雲提供：請連線銷售人員追蹤 Docker 企業版，或存取阿裡雲市場線上購買

相關產品：

1. 容器服務(Docker)
2. 物件隱藏OSS