更新时间:2026-07-01 GMT+08:00
分享

镜像版本不可变

操作场景

容器镜像服务企业版支持配置并使用镜像版本不可变规则。容器镜像服务为了实现端到端可信,规避访问凭证泄漏后,现有镜像被覆盖的问题,容器镜像服务新增镜像版本不可变功能,通过对命名空间下的镜像设置不可变规则,保证该镜像版本不可变。

约束与限制

每个命名空间下仅允许创建一个不可变规则。

创建镜像不可变规则

  1. 由于容器镜像服务企业版目前处于公测阶段,如果您的租户登录页面后看不到“企业版”链接,请提交工单申请入口。申请成功后,登录容器镜像服务企业版控制台,在页面左上角切换Region到您所在的Region,单击注册表名称进入注册表详情页面。
  2. 在左侧导航栏选择“运维中心 > 镜像版本不可变”
  3. 单击右上角“创建不可变规则”。
  4. 填写参数具体规则。详情请参见表1 镜像不可变规则参数解释

    表1 镜像不可变规则参数解释

    参数

    示例

    参数说明

    命名空间

    auto_ns_hjf0n

    注册表下创建的命名空间,包括公有命名空间和私有命名空间。

    规则范围

    镜像

    tmprepo_j9qxx

    镜像参数支持以下两种输入模式:

    - 选择模式:选择该命名空间下的一个或多个镜像。不填或者填**,则默认匹配全部版本。

    - 正则输入模式:输入正则表达式规则筛选符合条件的镜像。

    正则表达式规则可填写如 nginx-* ,{repo1,repo2} 等,其中:

    * : 匹配不包含 '/' 的任何字段。

    **:匹配包含 '/' 的任何字段。

    ? :匹配任何单个非 '/' 的字符。

    {选项1,选项2,...}:同时匹配多个选项。

    版本

    v2

    输入需要创建不可变规则的镜像版本范围,若不填或者填**,则默认匹配全部版本。

  5. 单击“确定”,完成不可变规则创建。

管理镜像版本不可变规则

成功创建后即可在“镜像版本不可变”页面查看已创建的不可变规则,您可以执行以下操作管理镜像不可变规则。

  • 修改规则状态:表示规则启用,表示规则关闭。新创建的不可变规则默认为启用状态,您可以自行调整。
  • 编辑:重新编辑不可变规则,除“命名空间”外,其余参数均可编辑。
  • 删除:删除该不可变规则。

镜像版本不可变结果验证

  1. 首先在命名空间auto_ns_hjf0n中上传镜像名称为tmprepo_j9qxx,镜像tag为v2的镜像。

  2. 接着创建如下镜像版本不可变规则(即组织autoxxx下的镜像tmprepo:v2不能被修改或覆盖)。注意:创建成功后规则自动启用。

  3. 再次在命名空间auto_ns_hjf0n中上传镜像名称为tmprepo_j9qxx,镜像tag为v2的镜像,触发镜像不可变规则,预期结果:上传失败。

相关文档