1 概述

容器服务镜像仓库，提供镜像仓库给用户上传Docker镜像和服务部署。在服务部署时，可选择镜像仓库中的镜像地址。

镜像仓库提供内置的平台仓库管理、也可以托管外部的harbor，或者管理第三方私有仓库的凭证。

2 平台仓库

容器服务内置一个镜像仓库，方便用户使用。平台仓库指向一个harbor地址，需要苍穹GPaaS管理员进行配置。

2.1 设置密码

首次使用时，需要设置一个仓库的密码，该密码与用户登录苍穹GPaaS平台不一样，需要独立保管。如果忘记密码，可以在平台仓库页面，点击“重置密码”按钮重置密码。

2.2 创建项目

项目：是镜像仓库中镜像地址的前缀，代表一个命名空间，项目名在所有租户项目中不能重复。

项目访问级别：在镜像仓库中可对项目进行访问级别设置。

私有：上传和拉取镜像都需要提供密码。
公开：上传镜像需要提供密码；拉取镜像只要知道镜像仓库地址，不需要提供密码即可拉取。

2.3 上传镜像 

上传镜像目前只能通过docker命令上传，可以在项目“使用镜像”中查看，如下图，并根据指引，将在本地环境制作好的镜像上传到指定的镜像仓库。

一般镜像仓库访问需要https，但是在私有化环境中可能没有配置证书，那么，需要在本地环境，或者K8S的节点上，配置非安全访问：

步骤1：编辑 /etc/docker/daemon.json

步骤2：在json格式最外层追加内容并保存退出，如下图：

步骤3：重启docker服务 systemctl restart docker。

2.4 共享镜像

由于不同的租户（项目组）之间是隔离的，每个租户都可以创建自己的镜像仓库，如果在租户之间需要进行镜像共享，可以将镜像共享给其它租户。共享镜像需要通过输入目标的项目ID进行授权共享。

2.5 版本/空间容量限制

默认不限制当前项目下的镜像数量和空间大小，如需要限制，可以在平台仓库关联的harbor上进行操作。

3 托管仓库

GPaaS允许用户托管私有化的harbor 1.10版镜像仓库。

新建托管时，需要输入如下信息：

仓库名称：自定义的私有仓库名称。

仓库类型：目前仅支持harbor。

仓库版本：目前仅支持1.10。

仓库地址：harbor服务端地址，例如https://kcr.kingdee.com。

用户名：harbor用户名，需要先在harbor创建，不允许使用admin用户。

Token：harbor用户密码。

托管后，会产生托管仓库的标签卡，可以读取到被托管用户有权读取的项目信息。容器服务允许托管多个harbor仓库，多仓库会以多个标签卡的形式呈现。

注意：托管仓库对harbor的操作权限来源于托管用户，托管非管理员用户，无权限操作会呈灰色。

4 第三方私有仓库

第三方私有仓库用于存储第三方仓库的密钥信息，供容器服务使用。并不涉及管理能力。

添加凭证需要输入如下信息：

仓库名称：自定义的私有仓库名称。

仓库地址：可以是某个镜像的完整路径（仓库+标签），也可以是某个仓库的服务地址，或某个镜像仓库的部分前缀，如kcr.kingdee.com。

用户名：拉取上传镜像需要使用的用户名。

密码：拉取上传镜像需要使用的密码。