Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Az ajánlott eljárások követésével maximalizálhatja a privát regisztrációs adatbázis teljesítményét és költséghatékony használatát az Azure-ban tárolólemezképek és egyéb összetevők tárolására és üzembe helyezésére.
A nyilvántartások alapfogalmaival kapcsolatos háttérért tekintse meg: A nyilvántartások, adattárak és rendszerképek. A tárolólemezképek címkézésére és verziószámozására vonatkozó javaslatok a regisztrációs adatbázisban lévő rendszerképek címkézésére és verziószámozására vonatkozó stratégiákat is ismertetik.
Hálózatközeli központi telepítés
A tárolóregisztrációs adatbázist ugyanabban az Azure-régióban hozza létre, amelyben a tárolókat helyezi üzembe. Ha a regisztrációs adatbázist a tároló gazdagéphez hálózatban közeli régióba telepíti, az csökkentheti a késést és a költségeket is.
A hálózatközeli központi telepítés a privát tárolóregisztrációs adatbázis használatának egyik fő oka. A Docker-rendszerképek hatékony rétegzési szerkezettel rendelkeznek, amely lehetővé teszi a növekményes üzembe helyezést. Az új csomópontoknak azonban egy adott rendszerképhez minden szükséges réteget le kell kérniük. A kezdeti docker pull hamar akár több gigabájttá nőheti ki magát. Az üzemelő példányához közeli privát regisztrációs adatbázis csökkenti a hálózati késést.
A nyilvános felhők – köztük az Azure is – hálózati forgalmi díjat számítanak fel. A rendszerképek egyes adatközpontok közötti mozgatása hálózati forgalmi díjjal is jár a nagyobb mértékű késés mellett.
Többrégiós üzemelő példányok georeplikációja
Használja az Azure Container Registry georeplikációs funkcióját, ha több régióban helyez üzembe tárolókat. Ha globális ügyfélbázist szolgál ki helyi adatközpontokból, vagy fejlesztői csapatának tagjai különböző helyeken tartózkodnak, a regisztrációs adatbázis georeplikálásával egyszerűsítheti a regisztrációs adatbázis kezelését és minimalizálhatja a késést. A regionális webhookokat úgy is konfigurálhatja, hogy értesítést küldjenek az eseményekről bizonyos replikákban, például amikor képek fel vannak töltve.
A georeplikálás prémium szintű regisztrációs adatbázisokban érhető el. A georeplikálás használatának megismeréséhez tekintse meg az Azure Container Registry georeplikációs szolgáltatásának három részes oktatóanyagát.
A lekérési teljesítmény maximalizálása
Amellett, hogy a rendszerképeket az üzemelő példányok közelében helyezi el, a képek jellemzői maguk is hatással lehetnek a lekérési teljesítményre.
Képméret – A felesleges rétegek eltávolításával vagy a rétegek méretének csökkentésével minimalizálhatja a képek méretét. A képméret csökkentésének egyik módja a többfázisú Docker buildelési megközelítés használata, amely csak a szükséges futtatókörnyezeti összetevőket tartalmazza.
Azt is ellenőrizze, hogy a rendszerkép tartalmaz-e világosabb alap operációsrendszer-lemezképet. Ha olyan üzembehelyezési környezetet használ, mint például az Azure Container Instances, amely bizonyos alaprendszerképeket gyorsítótáraz, ellenőrizze, hogy fel tud-e cserélni egy képréteget az egyik gyorsítótárazott lemezképre.
Rétegek száma – A használt rétegek számának kiegyenlítése. Ha túl kevés, akkor nem élvezheti a réteg újrafelhasználását és gyorsítótárazását a gazdagépen. Túl sok, és az üzembe helyezési környezet több időt tölt lekéréssel és felbontással. Öt-tíz réteg optimális.
Emellett válasszon egy szolgáltatási szintet az Azure Container Registryből, amely megfelel a teljesítményigényeinek. A Prémium szint biztosítja a legnagyobb sávszélességet és az egyidejű olvasási és írási műveletek legmagasabb sebességét nagy mennyiségű üzembe helyezés esetén.
Adattárnévterek
Adattár-névterek használatával engedélyezheti egyetlen beállításjegyzék megosztását a szervezeten belül több csoport között. A regisztrációs adatbázisok több környezeten és csoporton keresztül is megoszthatók. Az Azure Container Registry támogatja a beágyazott névtereket, amelyekkel elkülöníthetők a csoportok. A beállításjegyzék azonban az összes adattárat önállóan kezeli, nem hierarchiaként.
Vegyük példaként a következő tárolórendszerkép-címkéket. A vállalati szintű, például aspnetcorea gyökérnévtérben lévő rendszerképek, míg a Termékek és Marketing csoportok tulajdonában lévő tárolólemezképek saját névtereket használnak.
- contoso.azurecr.io/aspnetcore:2.0
- contoso.azurecr.io/products/widget/web:1
- contoso.azurecr.io/products/bettermousetrap/refundapi:12.3
- contoso.azurecr.io/marketing/2023-fall/concertpromotions/campaign:218.42
Dedikált erőforráscsoport
Mivel a tárolóregiszterek olyan erőforrások, amelyeket több tárológazda használ, a regiszternek a saját erőforráscsoportjában kell elhelyezkednie.
Bár kísérletezhet egy adott gazdagéptípussal, például az Azure Container Instances szolgáltatással, valószínűleg törölni szeretné a tárolópéldányt, ha végzett. Előfordulhat azonban, hogy meg szeretné tartani az Azure Container Registry-be átvitt konténerképeket. Azáltal, hogy a regisztert a saját erőforráscsoportjába helyezi, csökkentheti annak esélyét, hogy véletlenül törli a képek gyűjteményét a regiszterben, amikor törli a tárolópéldány erőforráscsoportját.
Hitelesítés és engedélyezés
Azure tárolóregisztrációs adatbázissal való hitelesítéskor két fő forgatókönyv fordulhat elő: az egyéni hitelesítés és a szolgáltatásos (vagy „távfelügyelt”) hitelesítés. A következő táblázat röviden bemutatja ezeket a forgatókönyveket és a hozzájuk fűződő ajánlott hitelesítési módokat.
| Típus | Példaforgatókönyv | Ajánlott módszer |
|---|---|---|
| Egyéni identitás | Egy fejlesztő rendszerképeket hív le a saját számítógépére, vagy helyez át onnan. | az acr login |
| Felhasználó nélküli/szolgáltatás identitás | Buildelési és üzembe helyezési folyamatok, amelyekben a felhasználó nem vesz közvetlenül részt. | Szolgáltatásnév |
Ezekről és más Azure Container Registry-hitelesítési forgatókönyvekről részletes információkért lásd: Hitelesítés azure-tárolóregisztrációs adatbázissal.
Az Azure Container Registry támogatja a szervezet biztonsági eljárásait a feladatok és jogosultságok különböző identitásokra való elosztásához. Szerepköralapú hozzáférés-vezérléssel rendeljen hozzá megfelelő engedélyeket különböző felhasználókhoz, szolgáltatásnevekhez vagy más identitásokhoz, amelyek különböző beállításjegyzék-műveleteket hajtanak végre. Például leküldéses engedélyeket rendelhet egy buildelési folyamatban használt szolgáltatásnévhez, és lekérési engedélyeket rendelhet hozzá egy másik, az üzembe helyezéshez használt identitáshoz. A Microsoft Entra-alapú adattár engedélyeinek használata az adott adattárakhoz való részletes hozzáféréshez. Másik lehetőségként nem Microsoft Entra-jogkivonat-alapú adattárengedélyeket is használhat.
Regisztrációs adatbázis méretének kezelése
Az egyes tárolóregisztrációs szolgáltatási szintek tárolási korlátozásai egy tipikus forgatókönyvhöz igazodnak: Alapszintű az első lépésekhez, Standard a legtöbb éles alkalmazáshoz, a Prémium pedig a nagy léptékű teljesítményhez és a georeplikációhoz. A regisztrációs adatbázis élettartama során érdemes felügyelnie annak méretét a nem használt tartalmak törlésével.
Az Azure CLI az acr show-usage parancsával megjelenítheti a tároló és más erőforrások aktuális használatát a beállításjegyzékben:
az acr show-usage --resource-group myResourceGroup --name myregistry --output table
Példa a kimenetre:
NAME LIMIT CURRENT VALUE UNIT
-------------------------- ------------ --------------- ------
Size 536870912000 215629144 Bytes
Webhooks 500 1 Count
Geo-replications -1 3 Count
IPRules 100 1 Count
VNetRules 100 0 Count
PrivateEndpointConnections 10 0 Count
Az aktuális tárterület-használatot a beállításjegyzék áttekintésében is megtalálhatja az Azure Portalon:
Feljegyzés
Egy georeplikált beállításjegyzékben a tárhelyhasználat az otthoni régióban jelenik meg. Szorozza meg a teljes felhasznált beállításjegyzék-tároló replikációinak számával.
Képadatok törlése
Az Azure Container Registry számos módszert támogat a rendszerképadatok tárolóregisztrációs adatbázisból való törlésére. A képeket címkével vagy jegyzékkivonattal törölheti, vagy egy teljes adattárat is törölhet.
A rendszerképadatok beállításjegyzékből való törléséről, beleértve a nem megjelölt (más néven "dangling" vagy "árva") rendszerképeket, olvassa el a tárolólemezképek törlése az Azure Container Registryben című témakört. Megadhatja a nem megjelölt jegyzékek adatmegőrzési szabályzatát is.
Következő lépések
Az Azure Container Registry több szinten (más néven termékváltozatokban) érhető el, amelyek különböző képességeket biztosítanak. Az elérhető szolgáltatási szintekről további információt az Azure Container Registry szolgáltatásszintjeiben talál.
A tárolóregisztrációs adatbázisok biztonsági helyzetének javítására vonatkozó javaslatokért tekintse meg az Azure Container Registry azure-beli biztonsági alapkonfigurációját.