更新时间:2026-05-29 GMT+08:00
跨账户拉取镜像
操作场景
在华为云多账户体系下,容器服务CCE集群或ECS节点与容器镜像服务SWR企业版注册表可能属于不同业务组织的不同账户,存在跨账户拉取镜像的需求。
前提条件
- 当前局点支持通过资源访问管理(RAM)共享仓库,详情请参见仓库共享。
- 容器镜像服务SWR注册表类型为企业版注册表。
操作步骤
- 配置网络连接
在跨账号拉取镜像时,拉取镜像的CCE集群或ECS节点与镜像所在的SWR企业版注册表可能位于不同账户下的不同VPC,甚至可能位于不同的地域。在拉取镜像前,必须确保双方网络连通且相关域名可解析。有以下几种实现方式:
- 公网连接:
- 描述:SWR企业版注册表支持公网访问,可以通过白名单策略限制来自公网环境的客户端对企业版注册表的访问。
- 操作:开启公网访问能力,双方通过公网传输镜像。但通过公网传输安全性较低。
- VPC对等连接:
- 描述:对等连接是建立在两个VPC之间的网络连接,不同VPC之间默认网络不通。通过对等连接可以实现不同VPC之间的云上内网通信。
- 操作:创建对等连接,将两个VPC之间的网络打通。具体操作请参见对等连接。
- 企业路由器(ER)连接:
- 描述:企业路由器(Enterprise Router, ER)可以连接虚拟私有云(Virtual Private Cloud, VPC)来构建中心辐射型组网,实现多个VPC之间的内网通信。
- 操作:配置企业路由器连接,将不同VPC连接起来,实现内网通信。
表1 三种类型的配置 对比项
公网连接
VPC对等连接
企业路由器ER连接
网络类型
公网
私网
私网
配置流程
启用公网访问及配置公网访问
操作步骤详见公网访问配置
创建对等连接连通不同账户下的两个VPC网络
企业路由器构建VPC互通组网
- 公网连接:
- 在DNS上配置内网域名解析,有以下两种方式:
方式一:所有者在容器镜像服务企业版控制台获取域名及打通网络的VPC名称,分享给接收者,接收者直接创建内网域名解析。
操作步骤:
- 所有者操作:
- 登录容器镜像服务企业版控制台。
- 在页面左上角切换Region到您所在的Region,单击“注册表”进入注册表详情页。
- 在左侧导航栏选择“访问管理 > 域名管理”,查看域名信息。
- 在左侧导航栏选择“访问管理 > 访问控制”,查看打通网络的VPC名称。
- 接收者操作:
- 登录DNS控制台。
- 在页面左上角切换Region到您所在的Region。
- 在左侧导航栏选择“内网域名”,单击右上角“创建内网域名”。
详情请参见:创建内网域名。
方式二:SWR企业版注册表的所有者将DNS内网解析zone共享给接收者,接收者接受后,关联到相关的VPC。详情请参见:跨账号共享内网域名。
操作步骤:
- 所有者操作:
- 参考仓库共享,详情请参见:创建仓库共享。创建仓库共享指定接收者,操作如下: 接收者操作:
- 登录容器镜像服务企业版控制台。
- 在页面左上角切换Region到您所在的Region。
- 在“注册表”页面,可以看到来自他人共享的注册表。
- 单击注册表进入注册表详情页,可以看到共享的仓库。
- 生成临时登录凭据,下载镜像。
- 登录CCE集群的节点,获取临时登录凭据,验证镜像下载功能。
