跨帳號同步執行個體鏡像 - Container Registry

需要將一個帳號下的鏡像同步到另一個帳號時，可以使用跨帳號同步執行個體功能。跨帳號同步執行個體功能不受地區限制，支援手動和自動的方式。

適用範圍

請確保源執行個體為進階版。目標執行個體可以是基礎版和進階版。
在Container Registry控制台單擊企業版執行個體的右下角的升級，可以升級企業版執行個體規格。
公用雲地區不支援同步至非公用雲地區（金融雲、政務雲等）。
部分地區因特殊限制（例如OSS Bucket不支援公網訪問），僅支援使用自訂同步鏈路。

背景資訊

跨帳號同步執行個體支援阿里雲帳號和阿里雲帳號之間、RAM使用者和RAM使用者之間、阿里雲帳號和RAM使用者之間的執行個體同步。

跨帳號自動同步執行個體

通過配置同步規則，在源執行個體上傳鏡像時，自動觸發將該鏡像同步到另一個帳號的目標執行個體中。本文假設源執行個體所在帳號為A帳號，目標執行個體所在的帳號為B帳號。

重要

跨帳號自動同步執行個體只會同步設定同步規則後上傳的符合規則的鏡像，存量的鏡像無法同步。

存量鏡像同步提供兩種方案：

存量鏡像數量不多時，可以選擇手動同步鏡像。請參見跨帳號手動同步執行個體和CreateRepoSyncTask。
存量鏡像數量較多時，推薦使用OSS複製+ACR鏡像匯入方案：
1. 將OSS Bucket中的所有檔案複製到目標ACR執行個體的OSS Bucket中。詳細資料請參見資料複製。
2. 建立匯入規則，將遷移源選擇為OSS Bucket，並啟動鏡像匯入任務進行遷移。

操作前準備

在進行跨帳號自動同步執行個體之前，需要先擷取以下資訊：

擷取A帳號和B帳號的UID。
說明
如果使用RAM使用者，需要擷取RAM使用者所在的主帳號的UID。
擷取目標執行個體所在的地區和執行個體ID。
登入Container Registry控制台，在執行個體列表頁面頂部選擇地區，單擊目標企業版執行個體。在概覽頁面可以查看執行個體所在地區，在執行個體資訊地區可以查看執行個體ID。
跨帳號自動同步執行個體支援按照命名空間和倉庫同步：
- 按照命名空間同步時，目標執行個體和源執行個體必須有相同的命名空間，並且目標執行個體的命名空間已開啟自動建立倉庫的能力。關於開啟自動建立倉庫的更多資訊，請參見建立命名空間。
- 按照倉庫同步時，目標執行個體和源執行個體必須有相同的命名空間和鏡像倉庫。

步驟一：在B帳號中對A帳號進行授權

在B帳號中對A帳號進行授權，允許A帳號將鏡像同步到B帳號的執行個體中。

建立aliyuncontainerregistrycrossaccoutsyncrole角色。
說明
角色名稱必須為aliyuncontainerregistrycrossaccoutsyncrole。
1. 使用B帳號登入RAM控制台
2. 在控制台左側導覽列選擇身份管理 > 角色，在右側頁面單擊建立角色。
3. 在建立角色頁面，選擇信任主體類型為雲帳號，然後設定具體的阿里雲帳號，最後單擊確定。
4. 在建立角色彈框中，輸入aliyuncontainerregistrycrossaccoutsyncrole角色名稱後，單擊確定。
建立權限原則。
1. 在RAM控制台左側導覽列選擇許可權管理 > 權限原則，單擊建立權限原則。
2. 在建立權限原則頁面選擇指令碼編輯，根據實際情況替換以下內容中的Resource欄位，然後將以下內容複寫到文檔框中，單擊確定。然後在建立權限原則對話方塊中填寫策略名稱稱和備忘。
  說明
  Resource：授權資源，格式為acs:cr:<B帳號目標執行個體所在地區>:<B帳號UID>:instance/<B帳號目標執行個體ID>。
  如果B帳號為RAM使用者，Resource中B帳號UID為RAM使用者所在主帳號的UID。
```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cr:CreateSyncRule",
                "cr:CreateRepositorySync"
            ],
            "Resource": "acs:cr:cn-beijing:151356101970****:instance/cri-4im1o411ls8g****"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cr:CreateSyncRule",
                "cr:CreateRepositorySync"
            ],
            "Resource": "acs:cr:cn-hangzhou:151356101970****:instance/cri-4im1o411ls8gxr****"
        }
    ],
    "Version": "1"
}
```
為aliyuncontainerregistrycrossaccoutsyncrole角色添加上文建立的權限原則。
1. 在權限原則管理頁面搜尋上文建立的權限原則名稱，單擊上文建立的權限原則名稱。
2. 單擊引用記錄頁簽，然後單擊新增授權。
3. 在添加許可權面板設定資源範圍為帳號層級，授權主體為aliyuncontainerregistrycrossaccoutsyncrole，然後單擊確定新增授權。
4. 單擊關閉。
修改aliyuncontainerregistrycrossaccoutsyncrole角色的信任策略。
1. 在RAM控制台左側導覽列選擇身份管理 > 角色。
2. 在角色頁面搜尋aliyuncontainerregistrycrossaccoutsyncrole，單擊aliyuncontainerregistrycrossaccoutsyncrole。
3. 單擊信任策略，然後單擊編輯信任策略。
4. 根據實際情況替換以下內容中Service欄位，然後將以下內容複寫到文檔框中，單擊儲存信任策略。
  說明
  Service：授權對象，格式為<A帳號的UID>@cr.aliyuncs.com。
  如果A帳號為RAM使用者，Service中A帳號UID為RAM使用者所在主帳號的UID。
```
{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "125287961064****@cr.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}
```

步驟二：A帳號建立同步規則

使用A帳號登入Container Registry控制台。
在頂部功能表列，選擇所需地區。
在左側導覽列，選擇執行個體列表。
在執行個體列表頁面單擊目標企業版執行個體。
在企業版執行個體管理頁面左側導覽列選擇分發管理 > 執行個體同步，在右側頁面單擊建立規則。

在建立規則對話方塊執行個體資訊設定精靈中設定參數，單擊下一步。

參數	說明
規則名稱	設定同步規則的名稱。
同步情境	設定同步情境為跨帳號。
目標UID	輸入目標執行個體所在帳號的UID。
目標執行個體	選擇目標執行個體所在地區，輸入目標執行個體ID。

在同步資訊設定精靈中設定同步層級，可選按照命名空間和倉庫同步，選擇相應的命名空間或者倉庫，設定倉庫版本過濾規則，然後單擊建立同步規則。
在企業版執行個體管理頁面選擇分發管理 > 同步記錄，在同步記錄頁面可以看到同步任務的狀態為同步成功，同時在目標執行個體中可以看到推送的鏡像，說明跨帳號自動同步執行個體成功。

跨帳號手動同步執行個體

通過配置同步規則，手動將源執行個體的鏡像推送到另一個帳號的目標執行個體中。本文假設源執行個體所在帳號為A帳號，目標執行個體所在的帳號為B帳號。

擷取A帳號和B帳號的UID，目標執行個體所在的地區和執行個體ID。具體操作，請參見上文的操作前準備。
在B帳號中對A帳號進行授權，允許A帳號同步鏡像到B帳號的執行個體中。具體操作，請參見上文的步驟一。
登入Container Registry控制台。
在頂部功能表列，選擇所需地區。
在左側導覽列，選擇執行個體列表。
在執行個體列表頁面單擊目標企業版執行個體。
在企業版執行個體管理頁面選擇倉庫管理 > 鏡像倉庫。
在鏡像倉庫頁面單擊目標鏡像倉庫的名稱。
在鏡像倉庫詳情頁面左側導覽列單擊鏡像版本，然後單擊目標鏡像右側操作列下的同步。
在鏡像同步對話方塊設定同步情境為跨帳號，輸入目標執行個體帳號UID，選擇目標倉庫，輸入目標執行個體ID、目標命名空間、目標倉庫名稱和鏡像版本，然後單擊確定。
在企業版執行個體管理頁面選擇分發管理 > 同步記錄，在同步記錄頁面可以看到同步任務的狀態為同步成功，同時在目標執行個體中可以看到同步的鏡像，說明跨帳號手動同步執行個體成功。

Container Registry：跨帳號同步執行個體