容器镜像服务 CCR
产品动态
| 功能名称 | 功能描述 | 发布时间 | 发布地域 | 相关文档 |
|---|---|---|---|---|
| 全部功能 | 容器镜像服务首次公测,请联系客户经理申请试用。 | 2022-11-30 | 全部 | - |
| 镜像标签、云产品对接 | 新增为镜像添加具有 AI 属性的自定义标签能力,与高性能 AI 算力池、云容器实例和 云开发机对接完成,可在云产品创建资源实例时选择 CCR 中的私有镜像 | 2022-12-31 | 全部 | - |
| 支持命名空间退订、续订 | 新增命名空间的退订、续订能力,可在资源到期前退订或在资源未释放前续订继续使用 | 2023-03-31 | 全部 | - |
| 新增镜像中心与镜像构建 | 新增镜像中心可供拉取官方镜像,提供镜像构建能力,通过基础镜像和自定义配置一键生成新镜像并自动推送至指定命名空间 | 2023-06-15 | 全部 | - |
| 镜像构建支持添加context地址 | 镜像构建时,支持通过指定context地址构建镜像 | 2023-11-30 | 全部 | - |
| 支持修改命名空间是否支持公网 | 命名空间默认允许公网访问,支持租户管理员配置公网访问策略 | 2024-03-31 | 全部 | - |
| 支持命名空间扩容 | 命名空间容量不够时,可以进行扩容 | 2024-05-31 | 全部 | - |
| 镜像构建功能暂时下线 | 因安全原因,镜像构建功能暂时下线 | 2024-07-31 | 全部 | - |
| 丰富镜像详细使用信息 | 镜像管理界面支持查看镜像使用总量和最近一次使用时间 | 2024-09-30 | 全部 | - |
| 支持IAM用户独立密码 | 支持IAM用户使用独立的密码完成镜像上传下载,支持密码的重置,IAM用户的镜像上传下载权限可通过IAM授予 | 2025-09-30 | 全部 | - |
| 增强镜像管理能力 | 新增命名空间镜像权限点(支持删除、pull/push镜像权限),新增镜像拷贝功能,支持批量拷贝/删除镜像 | 2025-10-30 | 全部 | - |
产品介绍
什么是容器镜像服务
容器镜像服务 CCR(Sensecore Cloud Container Registry)是支持容器镜像全生命周期管理的安全托管平台,提供易用可靠的镜像管理功能。
容器镜像服务是为容器镜像提供全生命周期管理的安全托管平台,提供易用但可靠的镜像管理能力,助力开发者以更灵活的方式进行 AI 任务的训练。
容器镜像服务主要具备以下功能:
- 全生命周期管理
支持容器镜像的推送、拉取和清理等全生命周期的托管能力,可为镜像添加AI特性标签以便分类管理。
- 多维度安全保障
支持内外网访问控制,镜像安全扫描等功能,保障数据安全及访问合规。
- 细粒度权限管控
提供容器镜像隔离能力,细粒度权限管理,支持为不同用户分配相应的访问权限。
- 无缝对接云产品
无缝对接弹性算力池(ACP)和云容器实例(CCI)等云产品,为AI训练和应用部署提供个性化能力支持。
产品优势
容器镜像服务以安全可靠为前提,通过简易的流程操作,提供镜像托管服务。
- 简单易用
将用户从搭建和运维镜像仓库等繁复工作中解放,只需关注业务本身,即可通过简易操作和流程享受极致的云服务体验。
- 安全可靠
具备VPC和公网的网络访问控制,支持镜像安全扫描并提供多维度漏洞报告,保障用户业务安全。
应用场景
镜像全生命周期管理
提供对镜像包括推送、拉取和同步的全生命周期管理能力,对AI应用落地过程中的所有镜像进行统一精细化管理。
- 拥有全面的镜像权限管理体系,便于团队协作管理
- 支持稳定快速的镜像上传、下载服务
AI开发训练
为AI开发者准备了常见的预置镜像,同时提供灵活的自定义能力适合特殊场景下的深度学习引擎和开发库需求。
- 提供常见 AI 应用落地所需镜像,定期同步官方镜像最新版本
- 与云产品无缝集成,快速上传自定义镜像用于开发训练或应用部署
计费说明
容器镜像服务采取包年包月的计费方式,通过购买命名空间的容量进行收费。
| 资源类型 | 规格属性 | 计费方式 |
|---|---|---|
| 命名空间 | 容量 | 包年包月,购买时一次性付费(容量以GB为单位,购买时长以月和年为单位) |
基本概念
| 名词 | 解释 |
|---|---|
| 容器 | 一个通过容器镜像创建的运行实例,一个节点可运行多个容器。容器的实质是进程,但与直接在宿主机执行的进程不同,容器进程运行于属于自己的独立命名空间。 镜像(Image)和容器(Container)的关系,就像是面向对象程序设计中的类和实例一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。 |
| 容器镜像 | 容器镜像是一种容器化标准交付物,用于打包应用程序及其依赖的环境。可以基于Dockerfile文件将应用构建为容器镜像并上传到容器镜像仓库中,然后您可以在测试或者生产环境中拉取容器镜像并启动容器。 |
| 命名空间 | 命名空间用于管理多个具有关联属性的镜像仓库,不直接存储容器镜像,可映射为企业内部的组织团队、产品项目或个人。 |
授权管理
容器镜像服务拥有精细化的权限管理,您可以使用用户访问控制 IAM 为所需用户进行以下角色授权。通过角色授权可使团队内的其他用户拥有您创建命名空间的不同权限,以便进行团队合作。用户授权操作可参考【大装置帮助中心-新手引导-如何为用户授权】
| 角色名称 | 角色说明 | 角色权限 |
|---|---|---|
| 命名空间创建者 | 可以创建命名空间 | ccr.namespace.create(创建) |
| 命名空间所有者 | 拥有命名空间的完全访问权限 | ccr.namespace.ownData(完全访问权限)、ccr.namespace.delete(删除)、ccr.namespace.setIamPolicy(授予权限)、ccr.namespace.operate(上传/拉取镜像)、ccr.namespace.deleteImage(删除镜像)、ccr.namespace.unsubscribe(退订)、ccr.namespace.unSetIamPolicy(移除权限)、ccr.namespace.renew(续订) |
| 命名空间开发者 | 拥有命名空间内镜像的操作权限,可进行镜像的上传、拉取和删除操作 | ccr.namespace.get(获取信息)、ccr.namespace.operate(上传/拉取镜像)、ccr.namespace.deleteImage(删除镜像) |
| 命名空间镜像用户 | 拥有容器镜像命名空间内镜像的操作权限,可进行镜像的上传、拉取操作。 | ccr.namespace.get(获取信息)、ccr.namespace.operate(上传/拉取镜像) |
快速入门
容器镜像服务是为容器镜像提供全生命周期管理的安全托管平台,提供易用但可靠的镜像管理能力,本文将介绍如何快速使用 CCR 推送和拉取镜像。
步骤一:创建命名空间
- 登录容器镜像服务控制台。
- 在左侧导航栏,选择命名空间。
- 点击创建命名空间,完成基本信息的配置,即可购买命名空间。
- 当命名空间状态由创建中转变为运行中,即可正常使用。
| 参数类型 | 参数 | 参数说明 |
|---|---|---|
| 购买信息 | 计费模式 | 容器镜像服务提供包年包月的计费方式,可选择按年计费还是按月计费。 |
| 地区和可用区 | 选择该命名空间创建的地区和可用区。 | |
| 资源配置 | 选择产品 | 选择下单的产品,此为容器镜像服务。 |
| 访问级别 | 选择命名空间的访问级别,分为私有和公开。 公开:公开命名空间下的所有镜像默认为公开镜像,所有人都可根据镜像地址进行拉取。 私有:私有命名空间下的所有镜像默认为私有镜像,只有对命名空间中镜像有拉取权限的用户才可拉取。 | |
| 存储容量 | 填写希望购买的容量数量 | |
| 基本信息 | 订阅和资源组 | 选择资源所属的订阅和资源组。 |
| 命名空间名称 | 填写命名空间的名称,支持小写英文字母、数字及短线“-”,小写英文开头,1-63个字符。 |
步骤二:推送拉取镜像
容器镜像服务,支持通过docker、nerdctl等客户端登陆并进行镜像的推送、拉取。命名空间所有者、命名空间开发者等具备ccr.namespace.operate权限的用户,可以在通过客户端在对应命名空间中推送和拉取镜像。
点击镜像管理进入镜像列表,命令行操作需要在Docker客户端进行,请提前安装和配置Docker客户端。进入【镜像管理】模块,点击“客户端上传”,进入界面后在账号启用状态下,可复制以下命令。账号的启用、禁用,以及密码设定和重置,见客户端上传镜像。
请注意:镜像仓地址会根据环境不同发生变化,使用时可进入“客户端上传”界面以其提供的地址为准,以下地址仅供参考。
使用以下命令,登录容器镜像服务 Docker Registry,当显示login succeeded,表示登录成功。
docker login registry.sensecore.cn --username [用户名]
使用以下命令为镜像打标签。
docker tag [镜像名称:镜像版本] registry.sensecore.cn/[命名空间]/[镜像名称:镜像版本]
使用以下命令推送镜像。在镜像管理页面点击已上传的镜像名称进入版本管理,在版本管理页面可以看到推送的镜像和相关的版本名称、镜像大小、Digest 信息,说明推送镜像成功。
docker push registry.sensecore.cn/[命名空间]/[镜像名称:镜像版本]
使用以上命令可拉取镜像。
docker pull registry.sensecore.cn/[命名空间]/[镜像名称:镜像版本]
步骤三:添加标签
- 登录容器镜像服务控制台。
- 在左侧导航栏,选择镜像管理。
- 在镜像管理页面点击添加标签按钮,即可自定义该镜像的个性化标签,添加完成后在高性能 AI 算力池、云容器实例和 云开发机创建资源实例和任务时均可用以筛选镜像。
| 列名 | 含义 |
|---|---|
| 通用标签 | 所属子产品与芯片类型为通用标签(必填项),您在高性能 AI 算力池、云容器实例和 云开发机创建资源实例和任务时,会根据通用标签进行镜像的筛选,请正确选择标签内容以免无法选择到所需镜像 |
| 非通用标签 | 非通用标签具有操作系统、驱动、开发语言、训练框架、加速库和模型算法等内容,可自由填写对应的标签值 |
| 系统标签 | 系统标签为镜像来源,当镜像为用户在 CCR 中通过客户端上传则镜像来源为本地,当镜像为云开发机的镜像快照则镜像来源为快照,此标签为系统自动生成 |
操作指南
命名空间
管理命名空间
应用场景
当您初次进入容器镜像服务后,需先以容量为规格购买命名空间资源,完成购买后即可在命名空间中托管镜像。
操作步骤
- 登录容器镜像服务控制台。
- 在左侧导航栏,选择命名空间。
- 点击创建命名空间,即可购买命名空间。
- 点击退订即可对未到期的命名空间进行退订。
- 点击续订即可对未释放的命名空间进行续订并正常使用。
| 参数类型 | 参数 | 参数说明 |
|---|---|---|
| 购买信息 | 计费模式 | 容器镜像服务提供包年包月的计费方式,可选择按年计费还是按月计费。 |
| 地区和可用区 | 选择该命名空间创建的地区和可用区。 | |
| 资源配置 | 选择产品 | 选择下单的产品,此为容器镜像服务。 |
| 访问等级 | 选择命名空间的访问级别,分为私有和公开。 公开:公开命名空间下的所有镜像默认为公开镜像,所有人都可根据镜像地址进行拉取。 私有:私有命名空间下的所有镜像默认为私有镜像,只有对命名空间中镜像有拉取权限的用户才可拉取。 | |
| 规格 | 填写希望购买的容量数量 | |
| 基本信息 | 订阅和资源组 | 选择资源所属的订阅和资源组。 |
| 命名空间名称 | 填写命名空间的名称,支持小写英文字母、数字及短线“-”,小写英文开头,1-63个字符。 |
修改命名空间是否支持公网访问
应用场景
命名空间默认允许公网访问,仅支持租户管理员统一配置公网访问策略,当配置了“不允许公网访问“,租户下的所有用户均不可上传或拉取镜像
操作步骤
登录容器镜像服务控制台。
在左侧导航栏,选择命名空间,点击【操作-更多-修改】。
- 修改命名空间是否支持公网访问。
复制管理
新建规则
应用场景
您可以通过容器镜像服务中的复制管理配置仓库间的自动流转规则,确保各环境使用的镜像版本精准匹配。
操作步骤
- 登录容器镜像服务控制台。
- 在左侧导航栏,选择复制管理,点击【新建规则】。
- 在弹窗中定义复制规则。规则中具备内容如下:
| 参数类型 | 参数 | 参数说明 |
|---|---|---|
| 新建规则 | 规则名称 | 该规则的名称 |
| 资源组 | 该规则作用的资源组 | |
| 资源过滤器 | 名称 | 过滤资源的名字。不填或者填写"/"匹配所有资源;"library/"只匹配"library"下的资源 |
| Tag | 过滤资源的tag/version。不填或者填写"/*"匹配所有;"1.0"只匹配以"1.0"开头的tag/version。 | |
| 目标区域 | 镜像复制操作的最终接收区域 | |
| 触发模式 | 可选定时触发或事件触发,定时触发需配合 “定时表达式” 配置具体时间,事件触发自动执行复制任务 |
编辑规则
应用场景
您可以通过编辑规则修改复制触发模式。
操作步骤
- 登录容器镜像服务控制台。
- 在左侧导航栏,选择复制管理。
- 点击操作列【编辑】按钮,在弹窗中修改触发模式。
镜像管理
查看镜像列表
应用场景
您可以通过容器镜像服务中的镜像管理查看已有的镜像和详情信息。
操作步骤
- 登录容器镜像服务控制台。
- 在左侧导航栏,选择镜像管理。
- 在镜像管理页面可以查看指定镜像的详细信息,镜像列表中的各项含义如下:
| 列名 | 含义 |
|---|---|
| 镜像名称 | 该镜像的名称 |
| 镜像标签 | 可为镜像打上具有 AI 属性的自定义标签 |
| 所属命名空间 | 该镜像所属命名空间 |
| 镜像地址 | 该镜像的地址,您可在公网和Sensecore内网中拉取到该镜像 |
| 版本数 | 该镜像所具备的所有版本数量 |
| 创建时间 | 该镜像的第一次上传时间 |
| 操作 | 支持管理和删除镜像 |
客户端上传镜像
应用场景
您可以通过客户端上传镜像至容器镜像服务中的命名空间,并对镜像进行管理。
操作步骤
- 登录容器镜像服务控制台。
- 在左侧导航栏,选择镜像管理。
- 点击"客户端上传",进入客户端上传界面。若您是首次进入此界面,请先点击“启用”按钮,启用账号并设置密码。
- 在账号启用状态下复制 docker login 命令以此登录Sensecore容器镜像服务Docker Registry。
- 复制 docker tag 命令为镜像添加版本信息,使用 docker push 命令向 Registry 中推送镜像。
- 若您忘记密码,平台无法找回,您可以在“客户端上传界面”重置密码来解决。
管理镜像
应用场景
您可以通过容器镜像服务中的镜像管理查看镜像的基本信息和每个版本的详情。
操作步骤
- 登录容器镜像服务控制台。
- 在左侧导航栏,选择镜像管理。
- 在镜像管理页面点击管理按钮,进入镜像详情即可查看基本信息、版本信息和操作指南。
- 通过版本管理模板可查看该镜像的多个版本信息,可选择性删除,版本管理列表中的各项含义如下:
| 列名 | 含义 |
|---|---|
| 版本名称 | 镜像的版本名称,如果重复上传同版本号镜像会导致版本名失效,为避免占用空间容量,请您尽快删除 |
| 镜像大小 | 该版本镜像所占用的空间大小 |
| Digest | 镜像的摘要信息,当您下载镜像时,最后一行中会出现这个值 |
| 更新时间 | 该版本镜像的最新更新时间 |
| 操作 | 支持拷贝或删除镜像版本 |
添加标签
应用场景
您可以通过容器镜像服务中的添加标签功能为镜像增加具有 AI 属性的自定义标签,以此对具有同种特征的镜像进行分类管理。
操作步骤
- 登录容器镜像服务控制台。
- 在左侧导航栏,选择镜像管理。
- 在镜像管理页面点击添加标签按钮,即可自定义该镜像的个性化标签,标签所具备的内容如下:
| 列名 | 含义 |
|---|---|
| 通用标签 | 所属子产品与芯片类型为通用标签(必填项),您在高性能 AI 算力池、云容器实例和 云开发机创建资源实例和任务时,会根据通用标签进行镜像的筛选,请正确选择标签内容以免无法选择到所需镜像 |
| 非通用标签 | 非通用标签具有操作系统、驱动、开发语言、训练框架、加速库和模型算法等内容,可自由填写对应的标签值 |
| 系统标签 | 系统标签为镜像来源,当镜像为用户在 CCR 中通过客户端上传则镜像来源为本地,当镜像为云开发机的镜像快照则镜像来源为快照,此标签为系统自动生成 |
