Container Registry：跨帳號同步執行個體

跨帳號自動同步執行個體

通過配置同步規則，在源執行個體上傳鏡像時，自動觸發將該鏡像同步到另一個帳號的目標執行個體中。本文假設源執行個體所在帳號為A帳號，目標執行個體所在的帳號為B帳號。

存量鏡像同步提供兩種方案：

• 存量鏡像數量不多時，您可以選擇手動同步鏡像。請參見跨帳號手動同步執行個體和CreateRepoSyncTask。

• 存量鏡像數量較多時，推薦您使用OSS複製+ACR鏡像匯入方案：

  1. 將OSS Bucket中的所有檔案複製到目標ACR執行個體的OSS Bucket中。詳細資料請參見資料複製。

  2. 建立匯入規則，將遷移源選擇為OSS Bucket，並啟動鏡像匯入任務進行遷移。

操作前準備

在進行跨帳號自動同步執行個體之前，您需要先擷取以下資訊：

• 擷取A帳號和B帳號的UID。

  說明

  如果您使用的是RAM使用者，您需要擷取RAM使用者所在的主帳號的UID。

• 擷取目標執行個體的所在地區和執行個體ID。

  登入Container Registry控制台，在執行個體列表頁面頂部選擇地區，單擊目標企業版執行個體。在概覽頁面執行個體資訊地區可以查看執行個體所在地區和執行個體ID。

• 跨帳號自動同步執行個體支援按照命名空間和倉庫同步：

  • 按照命名空間同步時，目標執行個體和源執行個體必須有相同的命名空間，並且目標執行個體的命名空間已開啟自動建立倉庫的能力。關於開啟自動建立倉庫的更多資訊，請參見建立命名空間。

  • 按照倉庫同步時，目標執行個體和源執行個體必須有相同的命名空間和鏡像倉庫。

步驟一：在B帳號中對A帳號進行授權

在B帳號中對A帳號進行授權，允許A帳號可以同步鏡像到B帳號的執行個體中。

1. 建立aliyuncontainerregistrycrossaccoutsyncrole角色。

   說明

   角色名稱必須為aliyuncontainerregistrycrossaccoutsyncrole。

   1. 使用B帳號登入RAM控制台

   2. 在控制台左側導覽列選擇身份管理 > 角色，在右側頁面單擊建立角色。

   3. 在選擇類型設定精靈中設定可信實體類型為阿里雲帳號，單擊下一步。

   4. 在配置角色設定精靈中設定角色名稱為aliyuncontainerregistrycrossaccoutsyncrole，單擊完成。

   5. 在建立完成設定精靈中單擊關閉。

2. 建立權限原則。

   1. 在RAM控制台左側導覽列選擇許可權管理 > 權限原則，單擊建立權限原則。

   2. 在建立權限原則頁面選擇指令碼編輯，根據實際情況替換以下內容中的Resource欄位，然後將以下內容複寫到文檔框中，單擊繼續編輯基本資料。

      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "cr:CreateSyncRule",
                      "cr:CreateRepositorySync"
                  ],
                  "Resource": "acs:cr:cn-beijing:151356101970****:instance/cri-4im1o411ls8g****"
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "cr:CreateSyncRule",
                      "cr:CreateRepositorySync"
                  ],
                  "Resource": "acs:cr:cn-hangzhou:151356101970****:instance/cri-4im1o411ls8gxr****"
              }
          ],
          "Version": "1"
      }

      Resource：授權資源，格式為acs:cr:<B帳號目標執行個體所在地區>:<B帳號UID>:instance/<B帳號目標執行個體ID>。

      說明

      如果B帳號為RAM使用者，Resource中B帳號UID為RAM使用者所在主帳號的UID。

3. 為aliyuncontainerregistrycrossaccoutsyncrole角色添加上文建立的權限原則。

   1. 在權限原則管理頁面搜尋上文建立的權限原則名稱，單擊上文建立的權限原則名稱。

   2. 單擊引用記錄頁簽，然後單擊新增授權。

   3. 在添加許可權面板設定授權範圍為整個雲帳號，授權主體為aliyuncontainerregistrycrossaccoutsyncrole，單擊自訂策略，然後在文字框中搜尋上文建立的權限原則名稱，單擊搜尋到的權限原則名稱，然後單擊確定。

   4. 單擊完成。

4. 修改aliyuncontainerregistrycrossaccoutsyncrole角色的信任策略。

   1. 在RAM控制台左側導覽列選擇身份管理 > 角色。

   2. 在角色頁面搜尋aliyuncontainerregistrycrossaccoutsyncrole，單擊aliyuncontainerregistrycrossaccoutsyncrole。

   3. 單擊信任策略，然後單擊編輯信任策略。

   4. 根據實際情況替換以下內容中Service欄位，然後將以下內容複寫到文檔框中，單擊儲存信任策略。

      {
        "Statement": [
          {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
              "Service": [
                "125287961064****@cr.aliyuncs.com"
              ]
            }
          }
        ],
        "Version": "1"
      }

      Service：授權對象，格式為<A帳號的UID>@cr.aliyuncs.com。

      說明

      如果A帳號為RAM使用者，Service中A帳號UID為RAM使用者所在主帳號的UID。

步驟二：建立同步規則

1. 使用A帳號登入Container Registry控制台。

2. 在頂部功能表列，選擇所需地區。

3. 在左側導覽列，選擇執行個體列表。

4. 在執行個體列表頁面單擊目標企業版執行個體。

5. 在企業版執行個體管理頁面左側導覽列選擇分發管理 > 執行個體同步，在右側頁面單擊建立規則。

6. 在建立規則對話方塊執行個體資訊設定精靈中設定參數，單擊下一步。

   參數	說明
   規則名稱	設定同步規則的名稱。
   同步情境	設定同步情境為跨帳號。
   目標UID	輸入目標執行個體所在帳號的UID。
   目標執行個體	選擇目標執行個體所在地區，輸入目標執行個體ID。

7. 在同步資訊設定精靈中設定同步層級，可選按照命名空間和倉庫同步，選擇相應的命名空間或者倉庫，設定倉庫版本過濾規則，然後單擊建立同步規則。

   在企業版執行個體管理頁面選擇分發管理 > 同步記錄，在同步記錄頁面可以看到同步任務的狀態為同步成功，同時在目標執行個體中可以看到推送的鏡像，說明跨帳號自動同步執行個體成功。

跨帳號手動同步執行個體

通過配置同步規則，手動將源執行個體的鏡像推送到另一個帳號的目標執行個體中。本文假設源執行個體所在帳號為A帳號，目標執行個體所在的帳號為B帳號。

1. 擷取A帳號和B帳號的UID，目標執行個體的所在地區和執行個體ID。具體操作，請參見上文的操作前準備。

2. 在B帳號中對A帳號進行授權，允許A帳號可以同步鏡像到B帳號的執行個體中。具體操作，請參見上文的步驟一。

3. 登入Container Registry控制台。

4. 在頂部功能表列，選擇所需地區。

5. 在左側導覽列，選擇執行個體列表。

6. 在執行個體列表頁面單擊目標企業版執行個體。

7. 在企業版執行個體管理頁面選擇倉庫管理 > 鏡像倉庫。

8. 在鏡像倉庫頁面單擊目標鏡像倉庫的名稱。

9. 在鏡像倉庫詳情頁面左側導覽列單擊鏡像版本，然後單擊目標鏡像右側操作列下的同步。

10. 在鏡像同步對話方塊設定同步情境為跨帳號，輸入目標執行個體帳號UID，選擇目標倉庫，輸入目標執行個體ID、目標命名空間、目標倉庫名稱和鏡像版本，然後單擊確定。

    在企業版執行個體管理頁面選擇分發管理 > 同步記錄，在同步記錄頁面可以看到同步任務的狀態為同步成功，同時在目標執行個體中可以看到同步的鏡像，說明跨帳號手動同步執行個體成功。