亚洲日本精品第一区,一级黄片视频免费,日韩精品一区二区中文在线

容器計算服務 ACS（Container Compute Service）支持免密拉取容器鏡像服務 ACR（Container Registry）中的鏡像，以提升效率和安全性。本文介紹如何在ACS集群中免密拉取ACR鏡像。

背景信息

容器鏡像服務 ACR（Container Registry）提供了多種版本的標準云原生制品安全托管及高效分發服務，其中包括ACR個人版、ACR企業版等。更多信息，請參見容器鏡像服務ACR簡介。對于不同版本的ACR服務，ACS提供了統一的免密拉取鏡像配置方式。

通過為ACS集群配置免密服務，ACS實例在創建時將自動為ACR鏡像注入鑒權信息，可以簡化實例創建流程，同時避免密碼泄露的風險，加強安全性。

說明

Docker鏡像，自建倉庫等非ACR鏡像不支持免密。

前提條件

配置ACS集群免密拉取ACR鏡像前，請確保您已經完成以下操作：

創建ACS集群。具體操作，請參見創建ACS集群。
已創建ACR實例，并完成鏡像倉庫、鏡像等相關配置。
- 關于如何配置ACR個人版實例，請參見使用個人版實例推送拉取鏡像。
- 關于如何配置ACR企業版實例，請參見使用企業版實例推送和拉取鏡像。
如果使用ACR企業版實例，需要配置實例的訪問方式。
新創建的ACR企業版實例默認處于非連接狀態，需要配置相應的ACL策略后，才可以通過公網或者專有網絡訪問該實例。
- 公網訪問：開啟公網訪問入口后，可以直接通過公網域名地址來訪問ACR企業版實例的鏡像（可跨域）。具體操作，請參見配置公網的訪問控制。
- 專有網絡訪問：使用專有網絡VPC訪問ACR企業版實例，需要開啟相關授權。具體操作，請參見配置專有網絡的訪問控制。

原理說明

免密組件通過讀取用戶控制臺的配置，進行私有鏡像拉取。免密組件配置完成后將會在集群中自動創建Secret，并關聯到配置中已指定的ServiceAccount。任何使用此ServiceAccount的Pod都會默認使用免密組件生成的Secret進行鏡像拉取，從而達到免密拉取鏡像的效果。

安裝和配置免密組件

登錄容器計算服務控制臺，在左側導航欄選擇集群。
在集群頁面，單擊目標集群ID，然后在左側導航欄，選擇運維管理 > 組件管理。
在組件管理頁面，選擇安全頁簽，找到aliyun-acr-credential-helper，單擊安裝。

在彈出的參數配置頁面，單擊AcrInstanceInfo右側添加，即可添加多個ACR實例信息。您可以參考以下示例進行配置，然后單擊確定。

添加AcrInstanceInfo。

說明

默認場景的配置方式如下：

使用AcrInstanceInfo的默認配置，即可同步ACR個人版實例。
填寫實例instanceID，其他項使用AcrInstanceInfo的默認配置，即可同步ACR企業版實例。

配置項鍵	配置項鍵說明	配置項值
instanceID	ACR實例ID。	容器鏡像服務中找到所創建的實例。企業版：在實例信息中可以找到實例ID，值為`cri-`開頭的字符串。個人版：如果希望為個人版配置免密能力，此處留空即可。默認值為空，即配置為該Region個人版實例。
regionID	ACR實例所在的RegionID。	ACR實例所在Region的ID，如：杭州Region的實例Region ID為`cn-hangzhou`。默認值為ACS集群所在Region，若與ACR實例同Region，此處留空即可。
domains	訪問ACR實例的域名。	訪問鏡像的域名，多個以英文半角逗號（,）分隔。默認值為instanceID對應ACR實例的所有域名（公網域名registry.，VPC域名registry-vpc.，內網域名registry-internal.*）。
assumeRoleARN	（可選）配置跨賬號拉取鏡像步驟4中獲取的鏡像倉庫所有者RAM角色ARN，非跨賬號拉取留空即可。	示例：acs:ram::123456789012****:test-rrsa-acr 默認值為空。
expireDuration	（可選）跨賬號場景下臨時憑證的有效時間。非跨賬號拉取留空即可。重要 expireDuration的值應不大于配置跨賬號拉取鏡像步驟4中設置的鏡像倉庫所有者角色最大會話時間。	默認值為`3600`。
rrsaRoleARN	（可選）配置跨賬號拉取鏡像步驟3中獲取的ACS集群RAM角色ARN，非跨賬號拉取留空即可。	示例：acs:ram::987654321012****:demo-role-for-rrsa 默認值為空。
rrsaOIDCProviderRoleARN	（可選）配置跨賬號拉取鏡像步驟2中獲取的ACS集群RRSA OIDC提供商ARN，非跨賬號拉取留空即可。	示例：acs:ram::987654321012**:oidc-provider/ack-rrsa-abcd1234** 默認值為空。

填寫其他配置項。

配置項鍵	配置項鍵說明	配置項值
是否開啟RRSA	勾選后即可開啟RRSA（需完成RRSA相關配置）。	默認不勾選。配置RRSA相關配置項并勾選后，能夠跨賬號拉取ACR鏡像。
watchNamespace	期望能免密拉取鏡像的Namespace。	默認值為`default`。當取值為all時，表示期望所有Namespace均能免密拉取。如需配置多個Namespace時，以英文半角逗號（,）分隔。說明推薦配置生效Namespace為您的業務Namespace，盡量避免配置all或者集群系統組件相關Namespace，使集群系統組件鏡像無法拉取。
serviceAccount	使免密組件作用于指定的服務賬號。	默認值為`default`。說明如果需要配置多個，請以英文半角逗號（,）分隔。如果設置為（*），表示支持指定命名空間下的所有ServiceAccount。
expiringThreshold	本地緩存憑證過期閾值。	默認值為`15m`。說明建議使用15m，即在緩存過期15分鐘前進行憑證更新。
notifyEmail	由免密組件生成的保密字典中的Email標記。	默認值為`xxx@aliyun.com`。

配置跨賬號拉取鏡像

使用RRSA進行跨賬號拉取

適用于服務賬戶的RAM角色（RAM Roles for Service Accounts，簡稱RRSA）功能可以實現ACS集群內Pod維度的權限隔離。通過為ACS集群開啟RRSA功能，并將授權角色的ARN分發給不同的鏡像倉庫所有者，免密組件可以實現跨賬號拉取ACR鏡像。

RRSA功能目前僅支持拉取ACR企業版實例（基礎版、標準版、高級版）的鏡像。

重要

當開啟RRSA功能后，由組件生成的憑證將不支持個人版非公開鏡像拉取，同時也不支持本文中提到的其他的鑒權方式。
啟用免密插件的RRSA功能首先需要啟用RRSA，再進行免密插件RRSA的相關配置。若操作順序顛倒，在配置完成后，則需要刪除免密插件的Pod，RRSA功能才會生效。

啟用ACS集群的RRSA功能。具體操作，請參見啟用RRSA功能。
ACS將自動為集群創建RRSA OIDC提供商，在集群控制臺的基本信息 > 安全與審計 > RRSA OIDC查看提供商URL和提供商ARN。

集群所有者使用OIDC提供商配置RAM角色，并授予角色扮演權限。

使用OIDC提供商創建RAM角色或為已存在的RAM角色關聯OIDC提供商，以便免密組件使用該角色權限訪問OpenAPI。

使用OIDC提供商創建RAM角色

使用阿里云賬號登錄RAM控制臺。
在左側導航欄，選擇身份管理 > 角色，然后在角色頁面，單擊創建角色。
在創建角色面板，選擇可信實體類型為身份提供商，然后單擊下一步。
在配置角色頁面，配置如下角色信息后，單擊完成。

本示例配置如下。

配置項	描述
角色名稱	demo-role-for-rrsa。
備注	選填有關該角色的備注信息。
身份提供商類型	OIDC。
選擇身份提供商	acs-rrsa-<cluster_id>。其中，<cluster_id>為您的集群ID。
限制條件	oidc:iss：保持默認。 oidc:aud：選擇sts.aliyuncs.com。 oidc:sub：條件判定方式選擇StringEquals，值的格式為system:serviceaccount:<namespace>:<serviceAccountName>。 <namespace>：應用所在的命名空間。 <serviceAccountName>：服務賬戶名稱。根據免密插件要求，此處必須填入`system:serviceaccount:kube-system:aliyun-acr-credential-helper`。

為已存在的RAM角色關聯OIDC提供商

使用阿里云賬號登錄RAM控制臺。
在左側導航欄，選擇身份管理 > 角色，單擊目標RAM角色名稱
在信任策略頁簽，單擊編輯信任策略。詳細操作，請參見修改RAM角色的信任策略。

在信任策略中Statement條目列表新增內容示例如下。

{
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "oidc:aud": "sts.aliyuncs.com",
            "oidc:iss": "<oidc_issuer_url>",
            "oidc:sub": "system:serviceaccount:kube-system:aliyun-acr-credential-helper"
        }
    },
    "Effect": "Allow",
    "Principal": {
        "Federated": [
            "<oidc_provider_arn>"
        ]
    }
}

重要

其中<oidc_issuer_url>和<oidc_provider_arn>分別需要替換為步驟2中獲取的提供商URL和提供商ARN。

為該RAM角色配置AliyunSTSAssumeRoleAccess權限策略，以便免密組件進行角色扮演。具體操作，請參見為RAM角色授權。
在角色基本信息 > ARN查看該RAM角色的ARN。

鏡像倉庫所有者配置RAM角色，信任集群所有者的RAM角色，并授予鏡像拉取權限。
1. 創建RAM角色。詳細操作，請參見創建可信實體為阿里云賬號的RAM角色。
2. 信任ACS集群RAM角色，允許其扮演倉庫所有者。詳細操作，請參見修改RAM角色的信任策略。策略文檔示例如下：
```
{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "<acs_role_arn>"
                ]
            }
        }
    ],
    "Version": "1"
}
```
  重要
  其中<acs_role_arn>需要替換為步驟3中獲取的ACS集群RAM角色ARN。
3. 為該RAM角色配置鏡像拉取權限
  1. 通過腳本編輯模式創建自定義權限策略，策略文檔內容如下，推薦策略名稱為AliyunACRBasicAccess。具體操作，請參見創建自定義權限策略。
```
{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "cr:GetAuthorizationToken",
                "cr:ListInstanceEndpoint",
                "cr:PullRepository"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```
  2. 為該RAM角色授予AliyunACRBasicAccess權限。具體操作，請參見為RAM角色授權。
4. [可選] 可以為該RAM角色設置角色最大會話時間，有效范圍為3600秒到43200秒。如果設置角色最大會話時間，下文配置AcrInstanceInfo時也應當設置參數expireDuration。
5. 在角色基本信息 > ARN查看該RAM角色的ARN。

在免密組件配置中勾選是否開啟RRSA。并配置AcrInstanceInfo。

按照如下配置內容，修改AcrInstanceInfo。

配置項鍵	配置項說明	配置項值
是否開啟RRSA	勾選后即可開啟RRSA（需完成RRSA相關配置）。	勾選
rrsaRoleARN	步驟3中獲取的ACS集群RAM角色ARN。	`<acs_role_arn>`
rrsaOIDCProviderRoleARN	步驟2中獲取的ACS集群RRSA OIDC提供商ARN。	`oidc_provider_arn`
assumeRoleARN	步驟4中獲取的鏡像倉庫所有者RAM角色ARN。	`<acr_role_arn>`
expireDuration	免密組件生成的臨時憑證的有效期。重要 expireDuration的值應不大于步驟4中設置的鏡像倉庫所有者角色最大會話時間。	默認為3600。取值范圍為[3600, 43200]，單位為秒。

日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

免密拉取ACR鏡像