全部產品
Search
文件中心

Elastic Container Instance:免密拉取ACR鏡像

更新時間:Jul 06, 2024

對於阿里雲Container RegistryACR的鏡像,ECI支援免密拉取,以提升效率和安全性。本文介紹如何免密拉取ACR鏡像。

背景資訊

阿里雲Container RegistryACR分為個人版和企業版。其中,企業版是企業級雲原生應用製品管理平台,提供容器鏡像、Helm Chart以及符合OCI規範製品的生命週期管理,適用於業務大規模部署情境,協助企業降低交付複雜度。更多資訊,請參見Container RegistryACR簡介

建立ECI執行個體或鏡像緩衝時,如果要拉取的鏡像屬於ACR鏡像,可以配置免密來簡化流程,提升效率,同時避免密碼泄露的風險,加強安全性。

說明

非ACR鏡像(例如Docker鏡像)不支援免密。

前提條件

配置ECI執行個體等資源免密拉取ACR鏡像前,請確保您已經完成以下操作:

  1. 已建立ACR執行個體,並完成鏡像倉庫、鏡像等相關配置。

  2. 如果使用ACR企業版執行個體,需要配置免密訪問。

    新建立的ACR企業版執行個體預設處於非串連狀態,需要配置相應的ACL策略後,才可以通過公網或者專用網路訪問該執行個體。

    • 公網訪問:開啟公網訪問入口後,可以直接通過公網網域名稱地址來訪問ACR企業版執行個體的鏡像(可跨域)。具體操作,請參見配置公網的存取控制

    • 專用網路訪問:使用Virtual Private Cloud訪問ACR企業版執行個體,需要開啟相關授權。具體操作,請參見配置專用網路的存取控制

配置說明

對於ACR鏡像,根據ACR執行個體是否與待建立的ECI執行個體等資源屬於同一阿里雲帳號,以及ACR執行個體的類型,免密拉取鏡像的支援情況如下:

帳號情況

ACR類型

免密支援情況

同帳號

  • 個人版

  • 企業版(預設網域名稱)

預設自動免密,支援配置RAM角色來限制免密範圍。

同帳號

企業版(自訂網域名)

無法自動免密,需要指定ACR執行個體來實現免密。

跨帳號

  • 個人版

  • 企業版

無法自動免密,需要配置RAM角色來實現免密。

請根據您的帳號和ACR執行個體情況選擇對應的配置:

指定RAM角色以限制免密範圍

在ACR執行個體與待建立的ECI執行個體等資源屬於同一阿里雲帳號的前提下,如果ACR執行個體是個人版ACR,或者是使用預設網域名稱的企業版ACR,則預設自動免密。此時,您可以按需配置RAM角色來限制免密範圍,例如只允許某一ACR執行個體自動免密。

說明

預設情況下,ECI使用服務關聯角色AliyunServiceRoleForECI來擷取其他雲端服務的存取權限,以便建立ECI資源,該角色包含了拉取ACR鏡像的許可權,適用於同帳號下的所有個人版ACR和使用預設網域名稱的企業版ACR,無法進行細粒度控制。

配置步驟包含以下兩步:

步驟一:建立RAM角色並授權

  1. 建立一個可信實體為阿里雲服務的RAM角色。具體操作,請參見建立可信實體為阿里雲服務的RAM角色

    需要注意的配置項如下:

    • 可信實體類型:阿里雲服務

    • 角色類型:普通服務角色

    • 角色名稱:樣本為acr-test

    • 受信服務:Elastic Container Instance

  2. 建立自訂權限原則。具體操作,請參見建立自訂權限原則

    權限原則的內容樣本如下,表示只允許拉取指定ACR執行個體的鏡像。關於如何編寫入權限策略,請參見權限原則基本元素

    {
    	"Version": "1",
    	"Statement": [{
    		"Effect": "Allow",
    		"Action": [
    			"cr:Get*",
    			"cr:List*",
    			"cr:Pull*"
    		],
    		"Resource": [
    			"acs:cr:cn-hangzhou:1609982529******:instance/cri-nwj395hgf6f3****"
    		]
    	}]
    }
  3. 為RAM角色綁定自訂權限原則。具體操作,請參見為RAM角色授權

  4. 找到新建立的acr-test角色,單擊角色名稱進入詳情頁面,確認許可權並擷取ARN。

    ACR-RAM0.png

步驟二:指定RAM角色

建立ECI Pod和ImageCache時,您可以添加Annotation(k8s.aliyun.com/acr-service-arns)來指定建立資源時使用的RAM角色。

以建立ECI Pod為例,YAML如下:

重要
  • Annotation請添加在Pod的metadata下,例如:建立Deployment時,Annotation需添加在spec>template>metadata下。

  • 僅支援在建立ECI Pod時添加ECI相關Annotation來生效ECI功能,更新ECI Pod時添加或者修改ECI相關Annotation均不會生效。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: test
  labels:
    app: test
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      name: nginx-test
      labels:
        app: nginx
        alibabacloud.com/eci: "true" 
      annotations:                  
        k8s.aliyun.com/acr-service-arns: "acs:ram::1609982529******:role/acr-test" #指定使用的RAM角色
    spec:
      containers:
      - name: nginx
        image: test****-registry.cn-hangzhou.cr.aliyuncs.com/eci_test/nginx:1.0   #鏡像需屬於RAM角色允許的ACR執行個體
        ports:
        - containerPort: 80

指定ACR執行個體來配置ACR企業版免密

在ACR執行個體與待建立的ECI執行個體屬於同一阿里雲帳號的前提下,如果ACR企業版執行個體使用自訂網域名,則需要指定ACR企業版執行個體來配置免密。配置方式為添加k8s.aliyun.com/acr-instance-ids的Annotation來指定ACR執行個體ID。

說明

ACR企業版執行個體支援跨地區使用,即指定的ACR企業版執行個體與Pod的所屬地區可以不同。指定時,需在ACR執行個體ID前加上所屬地區,例如cn-beijing:cri-j36zhodptmyq****

建立ECI Pod

建立ECI Pod時,您可以在Pod metadata中添加Annotation(k8s.aliyun.com/acr-instance-ids)來指定ACR執行個體。

重要
  • Annotation請添加在Pod的metadata下,例如:建立Deployment時,Annotation需添加在spec>template>metadata下。

  • 僅支援在建立ECI Pod時添加ECI相關Annotation來生效ECI功能,更新ECI Pod時添加或者修改ECI相關Annotation均不會生效。

配置樣本如下:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: test
  labels:
    app: test
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      name: nginx-test
      labels:
        app: nginx
        alibabacloud.com/eci: "true" 
      annotations:
        k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****"      #指定ACR執行個體ID
    spec:
      containers:
      - name: nginx
        image: test****-registry.example.com/eci_test/nginx:1.0   #指定使用自訂網域名的ACR企業版鏡像
        ports:
        - containerPort: 80

建立ImageCache

建立ImageCache時,您可以在ImageCache的metadata中添加Annotation(k8s.aliyun.com/acr-instance-ids)來指定ACR執行個體。配置樣本如下:

apiVersion: eci.alibabacloud.com/v1
kind: ImageCache
metadata:
  name: imagecache-sample
  annotations:
    k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****" #指定ACR執行個體ID
spec:
  images: 
  - test****-registry.example.com/eci_test/nginx:1.0   #指定使用自訂網域名的ACR企業版鏡像
  imagePullSecrets:
  - default:secret1
  - default:secret2
  - kube-system:secret3
  imageCacheSize:
   25
  retentionDays:
   7

授權RAM角色來配置跨帳號免密

如果ACR執行個體與待建立的ECI執行個體不屬於同一阿里雲帳號,則需要分別在兩個帳號下配置RAM角色並完成授權後,才能實現免密。

配置步驟包含以下兩步:

步驟一:建立RAM角色並授權

  1. 在ECI執行個體等資源歸屬帳號A下建立RAM角色並授權。

    1. 建立一個可信實體為阿里雲服務的RAM角色。具體操作,請參見建立可信實體為阿里雲服務的RAM角色

      需要注意的配置項如下:

      • 可信實體類型:阿里雲服務

      • 角色類型:普通服務角色

      • 角色名稱:樣本為role-assume

      • 受信服務:Elastic Container Instance

    2. 為role-assume角色授予調用STS服務AssumeRole介面的許可權。具體操作,請參見為RAM角色精確授權

      要添加的權限類別型為系統策略,權限原則名稱為AliyunSTSAssumeRoleAccess

    3. 找到新建立的role-assume角色,單擊角色名稱進入詳情頁面,確認許可權和信任策略,並擷取ARN。

      • 許可權和ARN

        免密拉取ACR-RAM1.png

      • 信任策略

        免密拉取ACR-RAM2.png

  2. 在ACR執行個體歸屬帳號B下建立RAM角色並授權。

    1. 建立一個可信實體為阿里雲帳號的RAM角色。具體操作,請參見建立可信實體為阿里雲帳號的RAM角色

      需要注意的配置項如下:

      • 可信實體類型:阿里雲帳號

      • 角色名稱:樣本為role-acr

      • 信任的雲帳號:其他雲帳號,此處填寫ECI執行個體等資源歸屬帳號A

    2. 為role-acr角色授予拉取ACR鏡像的許可權。具體操作,請參見為RAM角色精確授權

      要添加的權限類別型為系統策略,權限原則名稱為AliyunContainerRegistryFullAccess

    3. 修改信任策略,將role-acr角色授信給role-assume角色。具體操作,請參見修改RAM角色的信任策略

      預設情況下,role-acr角色可以被帳號A下授權的任何RAM使用者或RAM角色扮演。建議您修改信任策略進行精確授信。

      Principal處,將RAM欄位的值改為role-assume角色的ARN,則表示role-acr角色只可以被role-assume角色扮演。樣本如下:

      "Principal": {
      	"RAM": [
      		"acs:ram::1609982529******:role/role-assume"
      	]
      }
    4. 確認許可權和信任策略,並擷取ARN。

      • 許可權和ARN

        免密拉取ACR-RAM3.png

      • 信任策略

        免密拉取ACR-RAM4.png

步驟二:指定RAM角色建立資源

建立ECI Pod和ImageCache時,您可以添加Annotation來指定其他阿里雲帳號下的ACR執行個體拉取鏡像。相關注意事項如下:

  • 如果ACR執行個體屬於其他阿里雲帳號,則必須添加k8s.aliyun.com/acr-service-arnsk8s.aliyun.com/acr-user-arns兩個Annotation來指定RAM角色,以配置許可權。

    • k8s.aliyun.com/acr-service-arns:ECI資源歸屬帳號下的RAM角色的ARN。

    • k8s.aliyun.com/acr-user-arns:ACR執行個體歸屬帳號下的RAM角色的ARN。

  • 如果ACR執行個體為使用自訂網域名的企業版執行個體,則必須添加k8s.aliyun.com/acr-instance-ids的Annotation來指定ACR執行個體。

    說明

    ACR企業版執行個體支援跨地區使用,即指定的ACR企業版執行個體與Pod的所屬地區可以不同。指定時,需在ACR執行個體ID前加上所屬地區,例如cn-beijing:cri-j36zhodptmyq****

建立ECI Pod

建立ECI Pod時,您可以在Pod metadata中添加以下Annotation來指定其他阿里雲帳號下的ACR執行個體:

annotations:
    k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****" 
    k8s.aliyun.com/acr-service-arns: "acs:ram::1609982529******:role/role-assume"
    k8s.aliyun.com/acr-user-arns: "acs:ram::1298452580******:role/role-acr"
重要
  • Annotation請添加在Pod的metadata下,例如:建立Deployment時,Annotation需添加在spec>template>metadata下。

  • 僅支援在建立ECI Pod時添加ECI相關Annotation來生效ECI功能,更新ECI Pod時添加或者修改ECI相關Annotation均不會生效。

完整YAML樣本如下:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: test
  labels:
    app: test
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      name: nginx-test
      labels:
        app: nginx
        alibabacloud.com/eci: "true" 
      annotations:
        k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****"                        
        k8s.aliyun.com/acr-service-arns: "acs:ram::1609982529******:role/role-assume"
        k8s.aliyun.com/acr-user-arns: "acs:ram::1298452580******:role/role-acr"
    spec:
      containers:
      - name: nginx
        image: test****-registry.example.com/eci_test/nginx:1.0   #指定使用自訂網域名的ACR企業版鏡像
        ports:
        - containerPort: 80

建立ImageCache

建立ImageCache時,您可以在ImageCache的metadata中添加以下Annotation來指定其他阿里雲帳號下的ACR執行個體:

annotations:
    k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****"
    k8s.aliyun.com/acr-service-arns: "acs:ram::1609982529******:role/role-assume"
    k8s.aliyun.com/acr-user-arns: "acs:ram::1298452580******:role/role-acr"

完整YAML樣本如下:

apiVersion: eci.alibabacloud.com/v1
kind: ImageCache
metadata:
  name: imagecache-sample
  annotations:
    k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****"
    k8s.aliyun.com/acr-service-arns: "acs:ram::1609982529******:role/role-assume"
    k8s.aliyun.com/acr-user-arns: "acs:ram::1298452580******:role/role-acr"
spec:
  images: 
  - test****-registry.example.com/eci_test/nginx:1.0   #指定使用自訂網域名的ACR企業版鏡像
  imagePullSecrets:
  - default:secret1
  - default:secret2
  - kube-system:secret3
  imageCacheSize:
   25
  retentionDays:
   7