hosteons中文网

在《Docker镜像仓库》一节中介绍了如何安装 DTR、如何将其接入后端共享存储、如何配置高可用以及如何使 DCP 和 DTR 共享一个公共的单点登录子系统。

配置 Docker 可信镜像仓库服务

大多数的 DTR 配置项可在 DTR Web 界面的 Settings（设置）页中进行设置。在General（通用）页签中可以配置以下内容。

• 自动更新设置。
• 许可。
• 负载均衡地址。
• 证书。
• 单点登录。

使用 Domains & proxies（域&代理）下的 TLS Settings（TLS设置）可以修改 UCP 使用的证书。默认情况下，DTR 使用自签名证书，但是用户可以在该页面配置自定义的证书。

Storage（存储）页签用来配置镜像存储所使用的后端存储。其他存储相关的选项包括其他云服务提供商的对象存储服务，以及卷和共享 NFS 的配置。

Security（安全）页签用于开启或关闭镜像扫描（Image Scanning），采用二进制级别的扫描来查找镜像中的缺陷。在开启镜像扫描的情况下，用户可以选择基于在线（online）或离线（offline）方式来更新缺陷库。在线方式会自动通过互联网同步数据库，而离线方式则用于无法接入互联网的 DTR 实例，通过手动更新数据库来完成。

同样重要的一点是 Garbage Collection（垃圾回收）页签，当镜像库中的镜像层不再被引用时，DTR 会对这些镜像层进行垃圾回收，该页签用于进行与之相关的配置。默认情况下，不被引用的镜像层不会被回收，从而会导致磁盘空间的浪费。

如果启用垃圾回收，不被任何镜像引用的镜像层便会被删除，而被至少一个镜像引用的镜像层不会被删除。

使用 Docker 可信镜像仓库服务

Docker 可信镜像服务是一种安全的、自行配置和管理的私有镜像库。它被集成在 UCP 以达到良好的开箱即用的使用体验。

接下来将会介绍如何从 DTR 推送和拉取镜像，以及如何使用 DTR Web 界面来查看和管理镜像库。

1) 登录到 DTR 界面并创建镜像库及权限

下面登录到 DTR，并创建一个新的镜像库，该库对所有的 technology/devs 团队的成员开放推送和拉取镜像的权限。

登录到 DTR。DTR 的 URL 可以在 UCP Web 界面的 Admin > Admin Settings > Docker Trusted Registry 下找到。注意，DTR Web 界面可以通过端口 443 的 HTTPS 访问。

创建一个新的组织和团队，然后添加一个用户。本例将创建一个名为 technology 的组织、一个名为 devs 的团队和一个名为 nigelpoulton 的用户。

① 单击左侧导航栏的 Organizations（组织）。

② 单击 New Organization（新建组织）并命名为 technology。

③ 选择新创建的 technology 组织，并单击 TEAMS（组织）旁的 + 按钮，如下图所示。