阿里云镜像仓库授权问题

最新推荐文章于 2025-05-20 11:55:27 发布
转载 最新推荐文章于 2025-05-20 11:55:27 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/698707
文章标签:

#php #java #运维

本文详细介绍了如何在阿里云上为子账号分配镜像仓库的管理权限,包括创建子账号、授权访问特定命名空间和镜像仓库的过程,以及如何使用子账号进行镜像的拉取和推送。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在使用公有云镜像仓库的时候,我们总有一种需要,即把命名空间或者仓库分配给不同的子账号,让子账号能够管理。那么在阿里云上是如何做到的呢?本文就先实践一下。

一、首先通过ram控制台创建一个子账号

image

二、创建好子账号以后我们用子账号登录控制台

image
第一次会要求我们创建仓库密码,这个密码就是我们登录仓库拉取镜像的凭证
image
但是我们会发现用子账号登录之后完全看不到我们的主账号的命名空间,那么要怎么做才能看到呢?

三、首先我们说说镜像服务的构成

1.代码源
image
在这里主要是绑定代码仓库,代码仓库对镜像仓库授权之后,镜像仓库能拉取到代码,这里的代码主要是dockerfile
用于构建镜像
2.命名空间
image
这里我们理解成项目,比如我可以创建product pre-product dev 作为线上、预发布、开发环境的命名空间
命名空间没有地域区分
3.镜像仓库
image
镜像仓库就是存放我们镜像的地方了,比如我们可以在product线上环境的命名空间下创建
nginx apache tomcat php nodejs java 等镜像用于构建服务,如果有版本的区别,比如我线上的nodejs镜像有需要node8和node6,怎么办呢? 这个时候我们可以通过tag来加以区别,通过修改dockerfile,保存两个版本的nodejs的镜像在仓库里面,在k8s部署时候根据tag取不同版本的基础环境作为无状态服务。
注意:仓库是有地域区分的,在香港创建的仓库在北京是地域下是看不到的哈,如果有人说仓库被阿里云删了,请一定要看看自己是不是选错地域了???

四、授权

1.假如我要子账号登录 Registry后 pull所有该命名空间下的镜像,可以通过OpenAPI 查看到该命名空间的信息及该命名空间下所有镜像仓库的相关信息

{
  "Statement": [
    {
      "Action": [
        "cr:Get*",
        "cr:List*",
        "cr:PullRepository"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cr:*:*:repository/alitest1/*"
      ]
    }
  ],
  "Version": "1"
}

权限分配
image

2.但是这个时候还是看不到的哈,如果我们想看到命名空间,要加对alitest1命名空间加以下规则才能看到

{
  "Statement": [
    {
      "Action": [
        "cr:Get*",
        "cr:List*",
        "cr:PullRepository"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cr:*:*:repository/alitest1/*"  #这个表示对alitest1命名空间给权限,如果要具体到某个仓库 * 换成仓库名
      ]
    },
    {
      "Action": [
        "cr:ListNamespace",
        "cr:ListRepository"
      ],
      "Effect": "Allow",
      "Resource": [
        "*"
      ]
    }
  ],
  "Version": "1"
}

授权之后我能看到所有命名空间,但是只能对被授权的命名空间进行管理
子账号登录控制台后就能和主站号一样看到所有的命名空间了
image

但是请注意 我们只能对alitest1进行操作 因为只有alitest1的授权

五、使用子账号进行pull和push

1.下面进行测试,先推送到镜像仓库
请参考此文档:
https://help.aliyun.com/document_detail/67992.html?spm=5176.8351553.0.0.4b2519911tzA7e
鉴权action:
cr:PushRepository
我现在要把一个busybox推送到阿里云镜像仓库下去
鉴权对象:
命名空间:alitest1
镜像仓库:test
完整鉴权规则:

{
  "Statement": [
    {
      "Action": [
        "cr:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cr:cn-hongkong:*:repository/alitest1/test"
      ]
    },
    {
      "Action": [
        "cr:Get*",
        "cr:List*",
        "cr:PushRepository"  
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cr:*:*:repository/alitest1"
      ]
    }
  ],
  "Version": "1"
}

image

推送测试:
先在节点上登录仓库,很多人access denied的原因就是没登录成功
image

image
完整过程:
image
如果大家不晓得怎么推送,控制台已经给出了命令
image

最后一步,控制台验证:
image

流水线-阿里云镜像仓库
yunli0的博客
09-19 1000
k8s操作21.docker镜像制作 1.docker镜像制作
三、docker配置阿里云镜像仓库并配置docker代理
weixin_50877409的博客
07-05 3281
2. 点击产品 - 容器 - 容器与镜像服务ACR - 管理控制台 - 镜像工具 - 镜像加速器。1. 登录阿里云官网,并登录。
阿里云容器与镜像服务的registry密码忘记了?
程序和我有一个能跑就行了
06-12 3882
阿里云容器与镜像服务的registry密码忘记了?
Docker-Harbor 私有镜像仓库使用指南
小刘运维
05-20 451
超详细版Harbor 私有镜像仓库使用教程
Maven配置用户密码等、镜像仓库、以及项目配置使用 deploy 命令推送到指定仓库等
hkl_Forever的博客
08-28 8316
【3】profiles:每个profile节点为一个配置信息,activation节点配置默认激活该配置信息,repositories 节点配置仓库的id、name、url等信息,插件仓库地址配置节点为 pluginRepositories。【3】此父项目 pom 中配置的仓库地址,推送时需要用户拥有对应仓库的权限(配置用户密码在 maven setting.xml 的 servers 节点下配置,见步骤一),否则无法完成 deploy。1、在父项目的 pom 文件中,配置仓库地址信息,如下。
阿里云容器镜像服务
can_chen的博客
07-12 5085
1. 镜像加速器 如果我们已经购买了阿里云服务器,并且在服务器里面安装Docker,那么在安装完Docker之后,我们可以配置一下阿里云镜像加速器;使用镜像加速器的好处就是一般我们想要拉取镜像都会从Docker Hub上拉取,但是这个站点在国外,对于我们来说使用很不方便,下载非常慢,而国内的阿里云上有自己已经拉取过来的镜像可以供我们直接使用,但是如果我们使用的镜像阿里云上面没有,那么我们也可以借助阿里云镜像加速器来拉取镜像镜像加速器的获取步骤: 登录阿里云官网(https://www.aliyun.c
阿里云官网修改子系统密码的入口(如修改容器镜像服务的密码)
Tjohn9的博客
01-28 610
核心关键字:,找法如下:上图中步骤①的实践:
手把手docker registry配置登录名/密码及registry-web配置
热门推荐
weixin_38251332的博客
02-28 1万+
我们的Docker私有仓库Registry服务只有加了认证机制之后我们的Registry服务才会更加的安全可靠
阿里云私有镜像仓库配置及使用
专注 专业 专心
08-28 5318
阿里云访问地址:https://www.aliyun.com/右上角选择“
阿里云配置遇到的一个问题
Daniel的博客
08-02 435
昨晚打开个人网站的地址突然发现连接不上,这就奇怪了!! 这个项目是部署在阿里云上,阿里云服务器ECS,云数据库RDS版,感觉阿里云的配置还是有点复杂,对于新手要摸索一段时间. 二话不说,打开tomcat的日志查看问题,日志中提示一个20000白名单错误,不明白怎么会有这个错误,这段时间也没动过数据库,既然是白名单问题,那么我去数据库配置添加ECS白名单喽 上图可以看到已经配置了ECS
容器镜像服务 - Webhook使用说明
weixin_33787529的博客
11-25 480
Webhook介绍 阿里云镜像服务为每个仓库提供了Webhook的功能,帮助用户在镜像构建成功后进行消息的推送,实现持续集成的后续流程。如果用户设置了一个容器服务触发器的Webhook,那么当镜像构建成功后,将会自动触发容器服务上应用拉取新的镜像,并进行重新部署。详见文章目前,阿里云镜像服务提供了两种不同的方式来设置Webhook的触发条件,一种是表达式...
docker_阿里云镜像仓库
qq_43527128的博客
09-26 2259
登录阿里云——控制台——容器镜像服务——创建个人版实例。设置后可在终端复制上图2测试。5.新机器拉取自己仓库的镜像
【云服务器系列4】—— 如何导出阿里云服务器的系统镜像到本地电脑
2401_82458959的博客
04-28 5827
通过导出系统镜像,将云服务器上的系统状态完整备份,可以在其他云服务器上快速部署相同配置的系统,节省了部署和配置的时间。当出现系统故障或灾难性事件时,可以迅速恢复到备份的系统状态。同时,可以通过导入本地系统镜像在本地环境快速复制系统配置.
使用阿里云搭建个人镜像仓库
L_TonyStark的博客
04-13 1969
许多人在搭建k8s的途中都会遇见镜像无法pull的情况,阿里云为我们提供了一种途径
阿里云免费个人Docker镜像仓库搭建
tgj891的博客
09-07 1万+
首先进入阿里云官网,如果没有注册的需要先注册,这里就不再讲解了,注册后点击右上角的登录,登录成功后点击右上角的“控制台”进入管理界面。如下图。
Docker 镜像管理(私有云&阿里云
weixin_38380811的博客
11-08 1120
Docker 镜像管理(私有云&阿里云
docker镜像上传至阿里云仓库
才子佳人的博客
03-17 1054
docker创建镜像并上传到阿里云仓库 首先要在阿里上开通仓库 1、创建密码 2、创建命名空间 完整流程如下: 登录阿里云Docker Registry $ sudo docker login --username=username registry.cn-shanghai.aliyuncs.com 用于登录的用户名为阿里云账号全名,密码为开通服务时设置的密码。 您可以在访问凭证页面修改凭证密码。 2. 从Registry中拉取镜像 $ sudo docker pull registry.cn-s
Docker镜像详解(手拉手教你上传至阿里云,发布到私有库)
08-17 3283
Docker中的镜像分层,支持通过扩展现有镜像,创建新的镜像。类似Java继承于一个Base基础类,自己再按需扩展。新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层官方Docker Hub地址:https://hub.docker.com/,中国大陆访问太慢了且准备被阿里云取代的趋势,不太主流。Dockerhub、阿里云这样的公共镜像仓库可能不太方便,涉及机密的公司不可能提供镜像给公网,所以需要创建一个本地私人仓库供给团队使用,基于公司内部项目构建镜像。...
docker使用阿里云镜像仓库有什么影响吗
最新发布
06-07
### 使用阿里云镜像仓库对Docker的影响及优缺点 使用阿里云镜像仓库可以显著提升 Docker 的使用体验,特别是在国内网络环境下。以下是具体的影响及其优缺点分析: #### 一、影响 1. **镜像拉取速度** 阿里云镜像仓库提供加速服务,能够有效减少因国际网络延迟导致的镜像下载缓慢问题[^3]。对于需要频繁拉取官方或第三方镜像的用户来说,这将极大提升开发效率。 2. **镜像存储与管理** 阿里云镜像仓库支持私有和公有镜像的存储,用户可以根据需求选择是否公开自己的镜像[^4]。此外,它还提供了版本控制功能,便于团队协作时对不同版本镜像进行管理和分发。 3. **安全性增强** 通过设置访问凭证(如固定密码)以及权限控制策略,可以保护镜像资源不被未经授权的用户访问[^2]。这对于企业级应用尤为重要。 4. **集成生态** 阿里云镜像仓库阿里云其他服务(如 ECS、ACK 等)深度集成,方便用户在云端快速部署容器化应用。同时支持 Serverless 场景下的自动化部署[^2]。 #### 二、优点 1. **高效性** 利用阿里云提供的镜像加速服务,大幅缩短了镜像下载时间,尤其适合大规模集群环境下的节点初始化操作[^3]。 2. **灵活性** 用户不仅可以上传自定义镜像,还能直接从公共仓库中获取常用镜像,并结合阿里云特有的区域特性优化传输路径[^1]。 3. **可靠性** 阿里云采用多副本存储机制保障数据安全,即使某个数据中心发生故障也能确保服务可用性[^4]。 4. **成本节约** 相较于自行搭建私有仓库,使用阿里云镜像仓库减少了硬件采购和运维投入,降低了总体拥有成本(TCO)[^2]。 #### 三、缺点 1. **依赖外部服务** 如果业务完全依赖于阿里云镜像仓库,则可能面临供应商锁定风险。一旦更换服务商,迁移工作量较大[^1]。 2. **网络稳定性要求高** 尽管阿里云在国内有较好的网络覆盖,但仍然可能存在某些偏远地区或特定时间段内访问不稳定的情况[^3]。 3. **学习曲线** 对于初次接触阿里云平台的开发者而言,理解其镜像仓库相关概念(如命名空间、实例等)以及配置流程可能会有一定难度[^4]。 ```python # 示例:登录阿里云镜像仓库并推送镜像 import subprocess def push_image_to_aliyun(username, password, image_name, repository): login_command = f"docker login --username={username} {repository}" tag_command = f"docker tag {image_name} {repository}/{image_name}" push_command = f"docker push {repository}/{image_name}" try: subprocess.run(login_command, shell=True, check=True) subprocess.run(tag_command, shell=True, check=True) subprocess.run(push_command, shell=True, check=True) print("镜像推送成功") except Exception as e: print(f"镜像推送失败: {e}") # 调用示例 push_image_to_aliyun("justin@1703206802674361", "your_password", "my_app:v1", "registry.cn-shanghai.aliyuncs.com/my_namespace") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值