镜像版本不可变
操作场景
容器镜像服务企业版支持配置并使用镜像版本不可变规则。容器镜像服务为了实现端到端可信,规避访问凭证泄漏后,现有镜像被覆盖的问题,容器镜像服务新增镜像版本不可变功能,通过对命名空间下的镜像设置不可变规则,保证该镜像版本不可变。
约束与限制
每个命名空间下仅允许创建一个不可变规则。
创建镜像不可变规则
- 由于容器镜像服务企业版目前处于公测阶段,如果您的租户登录页面后看不到“企业版”链接,请提交工单申请入口。申请成功后,登录容器镜像服务企业版控制台,在页面左上角切换Region到您所在的Region,单击注册表名称进入注册表详情页面。
- 在左侧导航栏选择“运维中心 > 镜像版本不可变”。
- 单击右上角“创建不可变规则”。
- 填写参数具体规则。详情请参见表1 镜像不可变规则参数解释。
表1 镜像不可变规则参数解释 参数
示例
参数说明
命名空间
auto_ns_hjf0n
注册表下创建的命名空间,包括公有命名空间和私有命名空间。
规则范围
镜像
tmprepo_j9qxx
镜像参数支持以下两种输入模式:
- 选择模式:选择该命名空间下的一个或多个镜像。不填或者填**,则默认匹配全部版本。
- 正则输入模式:输入正则表达式规则筛选符合条件的镜像。
正则表达式规则可填写如 nginx-* ,{repo1,repo2} 等,其中:
* : 匹配不包含 '/' 的任何字段。
**:匹配包含 '/' 的任何字段。
? :匹配任何单个非 '/' 的字符。
{选项1,选项2,...}:同时匹配多个选项。
版本
v2
输入需要创建不可变规则的镜像版本范围,若不填或者填**,则默认匹配全部版本。
- 单击“确定”,完成不可变规则创建。

管理镜像版本不可变规则
成功创建后即可在“镜像版本不可变”页面查看已创建的不可变规则,您可以执行以下操作管理镜像不可变规则。

- 修改规则状态:
表示规则启用,
表示规则关闭。新创建的不可变规则默认为启用状态,您可以自行调整。 - 编辑:重新编辑不可变规则,除“命名空间”外,其余参数均可编辑。
- 删除:删除该不可变规则。
镜像版本不可变结果验证
- 首先在命名空间auto_ns_hjf0n中上传镜像名称为tmprepo_j9qxx,镜像tag为v2的镜像。

- 接着创建如下镜像版本不可变规则(即组织autoxxx下的镜像tmprepo:v2不能被修改或覆盖)。注意:创建成功后规则自动启用。

- 再次在命名空间auto_ns_hjf0n中上传镜像名称为tmprepo_j9qxx,镜像tag为v2的镜像,触发镜像不可变规则,预期结果:上传失败。
