容器镜像服务 快速入门

本文将介绍如何从零开始，购买容器镜像服务企业版实例，并配置网络访问策略，最终实现容器镜像的推送及拉取。
若您需要使用容器镜像服务个人版，请参考 镜像仓库基本教程。

步骤1：注册腾讯云账号

如果您已在腾讯云注册，可忽略此步骤。

步骤2：开通容器镜像服务

在 腾讯云控制台 中，选择【云产品】>【容器镜像服务】，进入容器镜像服务控制台，按照界面提示开通容器镜像服务并为服务授权，授权详情可参见 企业版授权方案示例。（如果您已为容器镜像服务授权，请跳过该步骤。）

步骤3：购买企业版实例

1. 登录 容器镜像服务控制台，进入“实例列表”页面。
2. 单击【新建】，在容器镜像服务购买页中参考以下信息购买实例。如下图所示：
   
   • 计费类型：容器镜像服务 TCR 提供两种类型的计费方式：包年包月和按量计费。详情请参见容器镜像服务 计费概述。
   • 实例名：输入自定义实例名称。该名称全局唯一，请避免与自己或他人现有实例名称重复。该名称将直接用于该实例 Registry 服务的访问域名，创建后不可修改，请谨慎选择。建议组合使用公司、实例所在地域或项目的缩写。
   • 实例地域：选择您希望部署该实例的地域。实例创建后地域将无法更改，请根据容器集群资源所在地进行选择。
   • 实例规格：选择您希望购买的实例规格。不同实例规格具有不同的实例性能及配额，详情请参见 购买指南。
   • 实例域名：自动生成的实例访问域名，前缀与实例名一致。实例创建后，实例域名无法修改。使用 docker login 命令登录实例时，即使用该域名。
   • 后端存储：实例创建时将自动在当前账号下创建并关联腾讯云对象存储 COS 存储桶，实例内镜像等数据将被存储至该存储桶内，并产生存储及流量费用，详情请参见 COS 计费指南。您可在实例创建后前往 COS 控制台查看该存储桶，请避免误删该存储桶，否则实例内托管的镜像等数据将无法找回。
   • 实例标签：为新建的实例绑定腾讯云标签，也可在实例创建后在实例详情页进行绑定与编辑。
3. 阅读并勾选《容器镜像服务协议》。
   企业版实例按照实例所在地域及规格收取不同费用，请在配置完成基本信息后确认已选规格及配置费用。
4. 勾选该选项后可单击【立即购买】购买已选配置的企业版实例。
5. 您可在“实例列表”页面查看实例购买进度，当实例状态为“运行中”时，则表示当前实例已成功购买并处于可用状态。您可参考以下步骤开始配置实例的访问控制策略并登录实例完成镜像的推送及拉取。

步骤4：配置网络访问策略

为保护您的数据安全，实例创建后默认拒绝全部公网及内网访问。在准备登录实例、推送及拉取镜像之前，请首先进行网络访问策略配置。
选择控制台左侧导航栏中的【访问控制】，按需选择【内网访问】或【公网访问】，并参考以下步骤配置相应的访问策略：

内网访问（推荐）

说明：

如您需要在容器服务 TKE 中使用本服务，请参考 使用 TCR 企业版实例内容器镜像创建工作负载 进行配置。
建议通过内网访问方式推送、拉取容器镜像，可明显提升推送、拉取速度，并避免产生公网流量成本。同时，您可通过管理内网访问链路，指定可以访问您镜像数据的私有网络（VPC），保障数据安全。

1. 在“内网访问”页面上方，确认已选择新建的实例。
2. 单击【新建】，在弹出的“新建内网访问链路”中配置私有网络及子网信息。如下图所示：
   
   请选择您希望访问镜像仓库的容器集群所在的私有网络，并选择该私有网络内任意一个仍有内网 IP 可供占用的子网。
3. 内网访问链路建立成功后，可采用 使用私有域解析 VPCDNS 自动配置 或 使用 TCR 插件自动配置 实现内网域名解析。详情请参见 内网访问控制。

公网访问

注意：

开启公网访问入口将会把您的独享实例暴露在公网环境内，建议您在完成内网访问配置后，尽快关闭公网访问入口。

1. 在“公网访问”页面上方，确认已选择新建的实例。
2. 单击左上角的【开启公网访问入口】，按钮状态将变为【开启中】。如下图所示：
   开启公网访问将允许 Docker 客户端通过公网访问镜像仓库。
   
3. 当按钮状态由【开启中】转变为【关闭公网访问入口】时，即说明已经成功公网访问入口，此时可单击列表左上方的【添加公网白名单】添加公网访问放通策略。
4. 在弹出的“新建公网访问白名单”窗口中，配置需放通的公网 IP 地址或地址段，并可选填写该规则的备注信息。如下图所示：
   建议不要直接填写 0.0.0.0/0 以放通全部来源的公网访问，或在实例正式启用前删除该规则。
   

步骤5：创建命名空间

1. 选择左侧导航栏中的【命名空间】，进入“命名空间”列表页面并单击【新建】。

   说明：

   命名空间用于管理实例内的镜像仓库，不直接存储容器镜像，可映射为企业内团队、项目或是其他自定义层级。

2. 在弹出的“新建命名空间”窗口中，参考以下提示配置命名空间信息并单击【确定】。如下图所示：
   
   • 名称：建议使用企业内团队或项目进行命名，单个实例内命名空间名称不可重复。
   • 访问级别：可选择【私有】或【公开】，命名空间内的镜像仓库及 Helm Chart 仓库将继承该属性，命名空间创建后仍可修改该属性。

步骤6：创建镜像仓库（可选）

说明：

您可在完成命名空间创建后，直接通过 Docker 客户端向该命名空间内推送镜像，对应的镜像仓库将被自动创建。

1. 单击左侧导航栏中的【镜像仓库】，进入“镜像仓库”列表页面。
2. 单击【新建】并在弹出的“新建镜像仓库”窗口中，配置镜像仓库信息并单击【确定】。如下图所示：
   其中，命名空间可选择已创建的命名空间，名称支持多级路径，详细描述支持 Markdown 语法。
   

步骤7：推送拉取镜像

通过以上步骤，您已经创建了实例及镜像仓库，接下来可通过以下步骤实现向镜像仓库内推送及拉取镜像。

说明：

此步骤需要您使用一台安装有 Docker 的云服务器或物理机，并确保访问的客户端已在 配置网络访问策略 定义的公网或内网允许访问范围内。

登录 Registry 实例

1. 选择左侧导航栏的【实例列表】，单击实例名进入实例管理页面。
2. 选择【访问凭证】页签，单击【生成临时登录指令】。

   说明：

   本文以获取实例临时登录指令为例，您还可以 获取长期访问凭证。

3. 在弹出的“临时登录指令”窗口中，单击【复制登录指令】。
4. 在命令行工具中执行已获取的登录指令，登录实例。示例如下：

   sudo docker login demo-tcr.tencentcloudcr.com --username 1xxx1019xxxx --password eyJhbGciOiJSUzI1NiIsImtpZCI6IlZCVTY6VTVGVzpP...

   命令行工具显示 Login Succeeded 即表示登录成功。

推送容器镜像

您可在本地构建新的容器镜像或从 DockerHub 上获取一个公开镜像用于测试。
本文以 DockerHub 官方的 Nginx 最新镜像为例，在命令行工具中依次执行以下指令，即可推送该镜像。请将 demo-tcr、project-a 及 nginx 依次替换为您实际创建的实例名称、命名空间名称及镜像仓库名。

sudo docker tag nginx:latest demo-tcr.tencentcloudcr.com/project-a/nginx:latest

sudo docker push demo-tcr.tencentcloudcr.com/project-a/nginx:latest

拉取容器镜像

本文以已成功推送的 Nginx 镜像为例，在命令行中执行以下命令，即可拉取该镜像。

sudo docker pull demo-tcr.tencentcloudcr.com/project-a/nginx:latest

相关文档

容器镜像服务TCR 企业版同时提供 Helm Chart 托管，实例跨地域同步，镜像安全扫描等高阶功能，您可参考以下文档使用：

• 管理 Helm Chart
• 配置实例同步
• 管理触发器
• 网络访问控制
• 访问权限管理

出现问题？

如果您在使用过程中出现问题，可参考 常见问题 进行问题定位及解决，也可通过 提交工单 将问题反馈给我们，我们将尽快为您处理。