跨賬號自動同步實例

通過配置同步規則，在源實例上傳鏡像時，自動觸發將該鏡像同步到另一個賬號的目標實例中。本文假設源實例所在賬號為A賬號，目標實例所在的賬號為B賬號。

存量鏡像同步提供兩種方案：

• 存量鏡像數量不多時，您可以選擇手動同步鏡像。請參見跨賬號手動同步實例和CreateRepoSyncTask。

• 存量鏡像數量較多時，推薦您使用OSS復制+ACR鏡像導入方案：

  1. 將OSS Bucket中的所有文件復制到目標ACR實例的OSS Bucket中。詳細信息請參見數據復制。

  2. 創建導入規則，將遷移源選擇為OSS Bucket，并啟動鏡像導入任務進行遷移。

操作前準備

在進行跨賬號自動同步實例之前，您需要先獲取以下信息：

• 獲取A賬號和B賬號的UID。具體操作，請參見如何查看主賬號UID？。

  說明

  如果您使用的是RAM用戶，您需要獲取RAM用戶所在的主賬號的UID。

• 獲取目標實例的所在地域和實例ID。

  登錄容器鏡像服務控制臺，在實例列表頁面頂部選擇地域，單擊目標企業版實例。在概覽頁面實例信息區域可以查看實例所在地域和實例ID。

• 跨賬號自動同步實例支持按照命名空間和倉庫同步：

  • 按照命名空間同步時，目標實例和源實例必須有相同的命名空間，并且目標實例的命名空間已開啟自動創建倉庫的能力。關于開啟自動創建倉庫的更多信息，請參見創建命名空間。

  • 按照倉庫同步時，目標實例和源實例必須有相同的命名空間和鏡像倉庫。

步驟一：在B賬號中對A賬號進行授權

在B賬號中對A賬號進行授權，允許A賬號可以同步鏡像到B賬號的實例中。

1. 創建aliyuncontainerregistrycrossaccoutsyncrole角色。

   說明

   角色名稱必須為aliyuncontainerregistrycrossaccoutsyncrole。

   1. 使用B賬號登錄RAM控制臺

   2. 在控制臺左側導航欄選擇身份管理 > 角色，在右側頁面單擊創建角色。

   3. 在選擇可信實體類型配置向導中設置可信實體類型為阿里云賬號，單擊下一步。

   4. 在配置角色配置向導中設置角色名稱為aliyuncontainerregistrycrossaccoutsyncrole，單擊完成。

2. 創建權限策略。

   1. 在RAM控制臺左側導航欄選擇權限管理 > 權限策略，單擊創建權限策略。

   2. 在創建權限策略頁面選擇腳本編輯，根據實際情況替換以下內容中的Resource字段，然后將以下內容復制到文檔框中，單擊確定。然后在創建權限策略對話框中填寫名稱和備注。

      說明

      Resource：授權資源，格式為acs:cr:<B賬號目標實例所在地域>:<B賬號UID>:instance/<B賬號目標實例ID>。

      如果B賬號為RAM用戶，Resource中B賬號UID為RAM用戶所在主賬號的UID。

      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "cr:CreateSyncRule",
                      "cr:CreateRepositorySync"
                  ],
                  "Resource": "acs:cr:cn-beijing:151356101970****:instance/cri-4im1o411ls8g****"
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "cr:CreateSyncRule",
                      "cr:CreateRepositorySync"
                  ],
                  "Resource": "acs:cr:cn-hangzhou:151356101970****:instance/cri-4im1o411ls8gxr****"
              }
          ],
          "Version": "1"
      }

3. 為aliyuncontainerregistrycrossaccoutsyncrole角色添加上文創建的權限策略。

   1. 在權限策略管理頁面搜索上文創建的權限策略名稱，單擊上文創建的權限策略名稱。

   2. 單擊引用記錄頁簽，然后單擊新增授權。

   3. 在添加權限面板設置資源范圍為賬號級別，授權主體為aliyuncontainerregistrycrossaccoutsyncrole，然后單擊確定新增授權。

   4. 單擊關閉。

4. 修改aliyuncontainerregistrycrossaccoutsyncrole角色的信任策略。

   1. 在RAM控制臺左側導航欄選擇身份管理 > 角色。

   2. 在角色頁面搜索aliyuncontainerregistrycrossaccoutsyncrole，單擊aliyuncontainerregistrycrossaccoutsyncrole。

   3. 單擊信任策略，然后單擊編輯信任策略。

   4. 根據實際情況替換以下內容中Service字段，然后將以下內容復制到文檔框中，單擊保存信任策略。

      說明

      Service：授權對象，格式為<A賬號的UID>@cr.aliyuncs.com。

      如果A賬號為RAM用戶，Service中A賬號UID為RAM用戶所在主賬號的UID。

      {
        "Statement": [
          {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
              "Service": [
                "125287961064****@cr.aliyuncs.com"
              ]
            }
          }
        ],
        "Version": "1"
      }

步驟二：創建同步規則

1. 使用A賬號登錄容器鏡像服務控制臺。

2. 在頂部菜單欄，選擇所需地域。

3. 在左側導航欄，選擇實例列表。

4. 在實例列表頁面單擊目標企業版實例。

5. 在企業版實例管理頁面左側導航欄選擇分發管理 > 實例同步，在右側頁面單擊新建規則。

6. 在新建規則對話框實例信息配置向導中設置參數，單擊下一步。

   參數	說明
   規則名稱	設置同步規則的名稱。
   同步場景	設置同步場景為跨賬號。
   目標UID	輸入目標實例所在賬號的UID。
   目標實例	選擇目標實例所在地域，輸入目標實例ID。

7. 在同步信息配置向導中設置同步級別，可選按照命名空間和倉庫同步，選擇相應的命名空間或者倉庫，設置倉庫版本過濾規則，然后單擊創建同步規則。

   在企業版實例管理頁面選擇分發管理 > 同步記錄，在同步記錄頁面可以看到同步任務的狀態為同步成功，同時在目標實例中可以看到推送的鏡像，說明跨賬號自動同步實例成功。

跨賬號手動同步實例

通過配置同步規則，手動將源實例的鏡像推送到另一個賬號的目標實例中。本文假設源實例所在賬號為A賬號，目標實例所在的賬號為B賬號。

1. 獲取A賬號和B賬號的UID，目標實例的所在地域和實例ID。具體操作，請參見上文的操作前準備。

2. 在B賬號中對A賬號進行授權，允許A賬號可以同步鏡像到B賬號的實例中。具體操作，請參見上文的步驟一。

3. 登錄容器鏡像服務控制臺。

4. 在頂部菜單欄，選擇所需地域。

5. 在左側導航欄，選擇實例列表。

6. 在實例列表頁面單擊目標企業版實例。

7. 在企業版實例管理頁面選擇倉庫管理 > 鏡像倉庫。

8. 在鏡像倉庫頁面單擊目標鏡像倉庫的名稱。

9. 在鏡像倉庫詳情頁面左側導航欄單擊鏡像版本，然后單擊目標鏡像右側操作列下的同步。

10. 在鏡像同步對話框設置同步場景為跨賬號，輸入目標實例賬號UID，選擇目標倉庫，輸入目標實例ID、目標命名空間、目標倉庫名稱和鏡像版本，然后單擊確定。

    在企業版實例管理頁面選擇分發管理 > 同步記錄，在同步記錄頁面可以看到同步任務的狀態為同步成功，同時在目標實例中可以看到同步的鏡像，說明跨賬號手動同步實例成功。