镜像版本不可变

操作场景

容器镜像服务企业版支持配置并使用镜像版本不可变规则。容器镜像服务为了实现端到端可信，规避访问凭证泄漏后，现有镜像被覆盖的问题，容器镜像服务新增镜像版本不可变功能，通过对命名空间下的镜像设置不可变规则，保证该镜像版本不可变。

约束与限制

每个命名下仅允许创建一个不可变规则。

创建镜像不可变规则

1. 登录容器镜像服务企业版控制台，在页面左上角切换Region到您所在的Region。单击镜像仓库实例名称进入。
2. 在左侧导航栏选择“运维中心 > 镜像版本不可变”。
3. 单击右上角“创建不可变规则”。
4. 填写参数具体规则。详情请参见表1 镜像不可变规则参数解释。

   表1 镜像不可变规则参数解释

   参数名称		说明
   命名空间		仓库下创建的命名空间，包括公有命名空间和私有命名空间。
   规则范围	镜像	镜像参数支持以下两种输入模式： 选择模式：选择选择该命名空间下的一个或多个镜像。 正则输入模式：输入正则表达式规则筛选符合条件的镜像。
   	版本	输入需要创建不可变规则的镜像版本范围，若不填或者填**，则默认匹配全部版本。

   

   • 在选择模式下，镜像范围可直接勾选该命名空间下的镜像。
   • 在正则输入模式下：
     正则表达式规则可填写如 nginx-* ，{repo1，repo2} 等，其中：

     • *：匹配不包含 '/' 的任何字段。
     • **：匹配包含 '/' 的任何字段。
     • ? ：匹配任何单个非 '/' 的字符。
     • {选项1,选项2,...}：同时匹配多个选项。

5. 单击“确定”，完成不可变规则创建。

   

验证规则生效

1. 首先在组织auto_ns_hjf0n中上传镜像名称为tmprepo_j9qxx，镜像tag为v2的镜像。

   

2. 接着创建如下镜像版本不可变规则（即组织autoxxx下的镜像tmprepo:v2不能被修改或覆盖）。注意：创建成功后规则自动启用。

   

3. 再次在组织auto_ns_hjf0n中上传镜像名称为tmprepo_j9qxx，镜像tag为v2的镜像，触发镜像不可变规则，预期结果：上传失败。

   

管理镜像版本不可变规则

成功创建后即可在“镜像版本不可变”页面查看已创建的不可变规则，您可以执行以下操作管理镜像不可变规则。

• 修改规则状态：表示规则启用，表示规则关闭。新创建的不可变规则默认为启用状态，您可以自行调整。
• 编辑：重新编辑不可变规则，除“命名空间”外，其余参数均可编辑。
• 删除：删除该不可变规则。