對於阿里雲Container RegistryACR的鏡像,ECI支援免密拉取,以提升效率和安全性。本文介紹如何免密拉取ACR鏡像。
背景資訊
阿里雲Container RegistryACR分為個人版和企業版。其中,企業版是企業級雲原生應用製品管理平台,提供容器鏡像、Helm Chart以及符合OCI規範製品的生命週期管理,適用於業務大規模部署情境,協助企業降低交付複雜度。更多資訊,請參見Container RegistryACR簡介。
建立ECI執行個體或鏡像緩衝時,如果要拉取的鏡像屬於ACR鏡像,可以配置免密來簡化流程,提升效率,同時避免密碼泄露的風險,加強安全性。
非ACR鏡像(例如Docker鏡像)不支援免密。
前提條件
配置ECI執行個體等資源免密拉取ACR鏡像前,請確保您已經完成以下操作:
已建立ACR執行個體,並完成鏡像倉庫、鏡像等相關配置。
關於如何配置ACR個人版執行個體,請參見使用個人版執行個體推送拉取鏡像。
關於如何配置ACR企業版執行個體,請參見使用企業版執行個體推送和拉取鏡像。
如果使用ACR企業版執行個體,需要配置免密訪問。
新建立的ACR企業版執行個體預設處於非串連狀態,需要配置相應的ACL策略後,才可以通過公網或者專用網路訪問該執行個體。
公網訪問:開啟公網訪問入口後,可以直接通過公網網域名稱地址來訪問ACR企業版執行個體的鏡像(可跨域)。具體操作,請參見配置公網的存取控制。
專用網路訪問:使用Virtual Private Cloud訪問ACR企業版執行個體,需要開啟相關授權。具體操作,請參見配置專用網路的存取控制。
配置說明
對於ACR鏡像,根據ACR執行個體是否與待建立的ECI執行個體等資源屬於同一阿里雲帳號,以及ACR執行個體的類型,免密拉取鏡像的支援情況如下:
帳號情況 | ACR類型 | 免密支援情況 |
同帳號 |
| 預設自動免密,支援配置RAM角色來限制免密範圍。 |
同帳號 | 企業版(自訂網域名) | 無法自動免密,需要指定ACR執行個體來實現免密。 |
跨帳號 |
| 無法自動免密,需要配置RAM角色來實現免密。 |
請根據您的帳號和ACR執行個體情況選擇對應的配置:
指定RAM角色以限制免密範圍
在ACR執行個體與待建立的ECI執行個體等資源屬於同一阿里雲帳號的前提下,如果ACR執行個體是個人版ACR,或者是使用預設網域名稱的企業版ACR,則預設自動免密。此時,您可以按需配置RAM角色來限制免密範圍,例如只允許某一ACR執行個體自動免密。
預設情況下,ECI使用服務關聯角色AliyunServiceRoleForECI來擷取其他雲端服務的存取權限,以便建立ECI資源,該角色包含了拉取ACR鏡像的許可權,適用於同帳號下的所有個人版ACR和使用預設網域名稱的企業版ACR,無法進行細粒度控制。
配置步驟包含以下兩步:
步驟一:建立RAM角色並授權
建立一個可信實體為阿里雲服務的RAM角色。具體操作,請參見建立可信實體為阿里雲服務的RAM角色。
需要注意的配置項如下:
可信實體類型:阿里雲服務
角色類型:普通服務角色
角色名稱:樣本為acr-test
受信服務:Elastic Container Instance
建立自訂權限原則。具體操作,請參見建立自訂權限原則。
權限原則的內容樣本如下,表示只允許拉取指定ACR執行個體的鏡像。關於如何編寫入權限策略,請參見權限原則基本元素。
{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "cr:Get*", "cr:List*", "cr:Pull*" ], "Resource": [ "acs:cr:cn-hangzhou:1609982529******:instance/cri-nwj395hgf6f3****" ] }] }
為RAM角色綁定自訂權限原則。具體操作,請參見為RAM角色授權。
找到新建立的acr-test角色,單擊角色名稱進入詳情頁面,確認許可權並擷取ARN。
步驟二:指定RAM角色
建立ECI Pod和ImageCache時,您可以添加Annotation(k8s.aliyun.com/acr-service-arns
)來指定建立資源時使用的RAM角色。
以建立ECI Pod為例,YAML如下:
Annotation請添加在Pod的metadata下,例如:建立Deployment時,Annotation需添加在spec>template>metadata下。
僅支援在建立ECI Pod時添加ECI相關Annotation來生效ECI功能,更新ECI Pod時添加或者修改ECI相關Annotation均不會生效。
apiVersion: apps/v1
kind: Deployment
metadata:
name: test
labels:
app: test
spec:
replicas: 2
selector:
matchLabels:
app: nginx
template:
metadata:
name: nginx-test
labels:
app: nginx
alibabacloud.com/eci: "true"
annotations:
k8s.aliyun.com/acr-service-arns: "acs:ram::1609982529******:role/acr-test" #指定使用的RAM角色
spec:
containers:
- name: nginx
image: test****-registry.cn-hangzhou.cr.aliyuncs.com/eci_test/nginx:1.0 #鏡像需屬於RAM角色允許的ACR執行個體
ports:
- containerPort: 80
指定ACR執行個體來配置ACR企業版免密
在ACR執行個體與待建立的ECI執行個體屬於同一阿里雲帳號的前提下,如果ACR企業版執行個體使用自訂網域名,則需要指定ACR企業版執行個體來配置免密。配置方式為添加k8s.aliyun.com/acr-instance-ids
的Annotation來指定ACR執行個體ID。
ACR企業版執行個體支援跨地區使用,即指定的ACR企業版執行個體與Pod的所屬地區可以不同。指定時,需在ACR執行個體ID前加上所屬地區,例如cn-beijing:cri-j36zhodptmyq****
。
建立ECI Pod
建立ECI Pod時,您可以在Pod metadata中添加Annotation(k8s.aliyun.com/acr-instance-ids
)來指定ACR執行個體。
Annotation請添加在Pod的metadata下,例如:建立Deployment時,Annotation需添加在spec>template>metadata下。
僅支援在建立ECI Pod時添加ECI相關Annotation來生效ECI功能,更新ECI Pod時添加或者修改ECI相關Annotation均不會生效。
配置樣本如下:
apiVersion: apps/v1
kind: Deployment
metadata:
name: test
labels:
app: test
spec:
replicas: 2
selector:
matchLabels:
app: nginx
template:
metadata:
name: nginx-test
labels:
app: nginx
alibabacloud.com/eci: "true"
annotations:
k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****" #指定ACR執行個體ID
spec:
containers:
- name: nginx
image: test****-registry.example.com/eci_test/nginx:1.0 #指定使用自訂網域名的ACR企業版鏡像
ports:
- containerPort: 80
建立ImageCache
建立ImageCache時,您可以在ImageCache的metadata中添加Annotation(k8s.aliyun.com/acr-instance-ids
)來指定ACR執行個體。配置樣本如下:
apiVersion: eci.alibabacloud.com/v1
kind: ImageCache
metadata:
name: imagecache-sample
annotations:
k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****" #指定ACR執行個體ID
spec:
images:
- test****-registry.example.com/eci_test/nginx:1.0 #指定使用自訂網域名的ACR企業版鏡像
imagePullSecrets:
- default:secret1
- default:secret2
- kube-system:secret3
imageCacheSize:
25
retentionDays:
7
授權RAM角色來配置跨帳號免密
如果ACR執行個體與待建立的ECI執行個體不屬於同一阿里雲帳號,則需要分別在兩個帳號下配置RAM角色並完成授權後,才能實現免密。
配置步驟包含以下兩步:
步驟一:建立RAM角色並授權
在ECI執行個體等資源歸屬帳號A下建立RAM角色並授權。
建立一個可信實體為阿里雲服務的RAM角色。具體操作,請參見建立可信實體為阿里雲服務的RAM角色。
需要注意的配置項如下:
可信實體類型:阿里雲服務
角色類型:普通服務角色
角色名稱:樣本為role-assume
受信服務:Elastic Container Instance
為role-assume角色授予調用STS服務AssumeRole介面的許可權。具體操作,請參見為RAM角色精確授權。
要添加的權限類別型為系統策略,權限原則名稱為AliyunSTSAssumeRoleAccess。
找到新建立的role-assume角色,單擊角色名稱進入詳情頁面,確認許可權和信任策略,並擷取ARN。
許可權和ARN
信任策略
在ACR執行個體歸屬帳號B下建立RAM角色並授權。
建立一個可信實體為阿里雲帳號的RAM角色。具體操作,請參見建立可信實體為阿里雲帳號的RAM角色。
需要注意的配置項如下:
可信實體類型:阿里雲帳號
角色名稱:樣本為role-acr
信任的雲帳號:其他雲帳號,此處填寫ECI執行個體等資源歸屬帳號A
為role-acr角色授予拉取ACR鏡像的許可權。具體操作,請參見為RAM角色精確授權。
要添加的權限類別型為系統策略,權限原則名稱為AliyunContainerRegistryFullAccess。
修改信任策略,將role-acr角色授信給role-assume角色。具體操作,請參見修改RAM角色的信任策略。
預設情況下,role-acr角色可以被帳號A下授權的任何RAM使用者或RAM角色扮演。建議您修改信任策略進行精確授信。
在
Principal
處,將RAM
欄位的值改為role-assume角色的ARN,則表示role-acr角色只可以被role-assume角色扮演。樣本如下:"Principal": { "RAM": [ "acs:ram::1609982529******:role/role-assume" ] }
確認許可權和信任策略,並擷取ARN。
許可權和ARN
信任策略
步驟二:指定RAM角色建立資源
建立ECI Pod和ImageCache時,您可以添加Annotation來指定其他阿里雲帳號下的ACR執行個體拉取鏡像。相關注意事項如下:
如果ACR執行個體屬於其他阿里雲帳號,則必須添加
k8s.aliyun.com/acr-service-arns
和k8s.aliyun.com/acr-user-arns
兩個Annotation來指定RAM角色,以配置許可權。k8s.aliyun.com/acr-service-arns:ECI資源歸屬帳號下的RAM角色的ARN。
k8s.aliyun.com/acr-user-arns:ACR執行個體歸屬帳號下的RAM角色的ARN。
如果ACR執行個體為使用自訂網域名的企業版執行個體,則必須添加
k8s.aliyun.com/acr-instance-ids
的Annotation來指定ACR執行個體。說明ACR企業版執行個體支援跨地區使用,即指定的ACR企業版執行個體與Pod的所屬地區可以不同。指定時,需在ACR執行個體ID前加上所屬地區,例如
cn-beijing:cri-j36zhodptmyq****
。
建立ECI Pod
建立ECI Pod時,您可以在Pod metadata中添加以下Annotation來指定其他阿里雲帳號下的ACR執行個體:
annotations:
k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****"
k8s.aliyun.com/acr-service-arns: "acs:ram::1609982529******:role/role-assume"
k8s.aliyun.com/acr-user-arns: "acs:ram::1298452580******:role/role-acr"
Annotation請添加在Pod的metadata下,例如:建立Deployment時,Annotation需添加在spec>template>metadata下。
僅支援在建立ECI Pod時添加ECI相關Annotation來生效ECI功能,更新ECI Pod時添加或者修改ECI相關Annotation均不會生效。
完整YAML樣本如下:
apiVersion: apps/v1
kind: Deployment
metadata:
name: test
labels:
app: test
spec:
replicas: 1
selector:
matchLabels:
app: nginx
template:
metadata:
name: nginx-test
labels:
app: nginx
alibabacloud.com/eci: "true"
annotations:
k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****"
k8s.aliyun.com/acr-service-arns: "acs:ram::1609982529******:role/role-assume"
k8s.aliyun.com/acr-user-arns: "acs:ram::1298452580******:role/role-acr"
spec:
containers:
- name: nginx
image: test****-registry.example.com/eci_test/nginx:1.0 #指定使用自訂網域名的ACR企業版鏡像
ports:
- containerPort: 80
建立ImageCache
建立ImageCache時,您可以在ImageCache的metadata中添加以下Annotation來指定其他阿里雲帳號下的ACR執行個體:
annotations:
k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****"
k8s.aliyun.com/acr-service-arns: "acs:ram::1609982529******:role/role-assume"
k8s.aliyun.com/acr-user-arns: "acs:ram::1298452580******:role/role-acr"
完整YAML樣本如下:
apiVersion: eci.alibabacloud.com/v1
kind: ImageCache
metadata:
name: imagecache-sample
annotations:
k8s.aliyun.com/acr-instance-ids: "cri-j36zhodptmyq****"
k8s.aliyun.com/acr-service-arns: "acs:ram::1609982529******:role/role-assume"
k8s.aliyun.com/acr-user-arns: "acs:ram::1298452580******:role/role-acr"
spec:
images:
- test****-registry.example.com/eci_test/nginx:1.0 #指定使用自訂網域名的ACR企業版鏡像
imagePullSecrets:
- default:secret1
- default:secret2
- kube-system:secret3
imageCacheSize:
25
retentionDays:
7