Megosztás:

Georeplikáció az Azure Container Registryben

A helyi jelenlétre vagy gyakori biztonsági mentésre vágyó vállalatok úgy döntenek, hogy több Azure-régióból futtatnak szolgáltatásokat. A konténer-regisztrációs adatbázis elhelyezése minden olyan régióban, ahol konténerképeket futtat, lehetővé teszi a hálózati közeli műveleteket, és biztosítja a gyors, megbízható képréteg-átvitelt, azonban minden regisztert külön kell kezelni. A georeplikálás használatával egy Azure-tárolóregisztrációs adatbázis több régiót is kiszolgálhat. Az összes régióban egyetlen regisztert és képnevet kezelhet. Feltöltés egyetlen regisztrárba, és az Azure Container Registry automatikusan replikálja a tartalmat a többi konfigurált régióba.

A georeplikált regisztrációs adatbázis a következő előnyöket nyújtja:

  • Használjon egyetlen regisztrációs, rendszerkép- és címkenevet több régióban.
  • Érjen el jobb teljesítményt és megbízhatóságot a regionális üzembe helyezések során a hálózathoz közeli beállításjegyzék-hozzáféréssel.
  • Csökkenthetők az adatátviteli költségek azáltal, hogy a konténer-hoszt régiójában vagy annak közelében lévő, helyi, replikált regisztrációs adatbázisból kérjük le a képrétegeket.
  • Nyilvántartás kezelése több régióban.
  • A rendszerleíró adatbázis rugalmasságának növelése regionális leállás esetén.

A georeplikálás az Azure Container Registry prémium szolgáltatási szintjének egyik funkciója. Amikor replikál egy beállításjegyzéket a kívánt régiókba, minden régióhoz prémium szintű regisztrációs díjat kell fizetnie. Az adatátviteli költségek azonban megtakaríthatók, és javíthatja a teljesítményt azáltal, hogy az egyes régiók helyi replikáiból származó képeket szolgál ki.

Feljegyzés

  • Ha több Azure-tárolóregisztrációs adatbázisban kell megőriznie a tárolólemezképek másolatait, az Azure Container Registry támogatja a rendszerképek importálását is. Egy DevOps-munkafolyamatban például docker-parancsok használata nélkül importálhat lemezképet egy fejlesztési beállításjegyzékből egy éles beállításjegyzékbe.
  • Ha egy beállításjegyzéket egy másik Azure-régióba szeretne áthelyezni a beállításjegyzék georeplikálása helyett, olvassa el a Tárolóregisztrációs adatbázis manuális áthelyezése másik régióba című témakört.

Az Azure Container Registry a rendelkezésre állási zónákat is támogatja, hogy rugalmas és magas rendelkezésre állású Azure-tárolóregisztrációs adatbázist hozzon létre egy Azure-régión belül. A régión belüli redundancia rendelkezésre állási zónáinak és a több régióra kiterjedő georeplikációs zónák kombinációja növeli a beállításjegyzék megbízhatóságát és teljesítményét.

Példa használati esetre

A Contoso egy nyilvános jelenléti webhelyet futtat az Egyesült Államokban, Kanadában és Európában. Ezeknek a piacoknak a helyi és hálózat közeli tartalommal való kiszolgálásához a Contoso Azure Kubernetes Service (AKS) fürtöket futtat az USA nyugati és keleti részén, Közép-Kanadában és Nyugat-Európában. A Docker-rendszerképként üzembe helyezett webhelyalkalmazás minden régióban ugyanazt a kódot és rendszerképet használja. A helyi tartalom egy régióhoz egy olyan adatbázisból lesz lekérve, amely minden régióban egyedileg van kiépítve. Minden regionális üzembe helyezés egyedi konfigurációval rendelkezik az erőforrásokhoz, például a helyi adatbázishoz.

A georeplikációs szolgáltatás használata előtt a Contosónak volt egy tárolóregisztere az USA nyugati régiójában, és egy további regisztere Nyugat-Európában. A különböző régiók kiszolgálása érdekében a fejlesztői csapat képeket küld a két régióban található regisztrációs adatbázisoknak.

docker push contoso.azurecr.io/public/products/web:1.2
docker push contosowesteu.azurecr.io/public/products/web:1.2

A példaforgatókönyv területi eloszlásának diagramja a georeplikációs használat előtt.

Ezzel a beállítással a Contoso USA keleti régiója, az USA nyugati régiója és Kanada középső fürtje lekéri az USA nyugati régiójának regisztrációs adatbázisát, ami kimenő díjakat von maga után. A fejlesztői csapatnak konfigurálnia és karban kell tartania az egyes regionális üzemelő példányokat a helyi beállításjegyzékre hivatkozó rendszerképnevekkel, és minden régióhoz konfigurálnia kell a beállításjegyzék-hozzáférést.

Diagram, amely két regiszterekből történő letöltést mutat a georeplikálás előtt.

A georeplikációs szolgáltatással a Contoso egyetlen beállításjegyzékbe összesíthet replikákat a kívánt régiókban. Egyetlen névvel ellátott contoso.azurecr.iobeállításjegyzékkel a csapat kezelheti a rendszerképek üzembe helyezésének egyetlen konfigurációját, mivel minden régió ugyanazt a rendszerkép URL-címét (contoso.azurecr.io/public/products/web:1.2) használja. Amikor a fejlesztői csapat leküld egy lemezképet, az Azure Container Registry automatikusan replikálja a rendszerképet a többi régióba. Minden regionális üzembe helyezés a legközelebbi replikából származik, így javítva a teljesítményt és a megbízhatóságot, miközben kiküszöböli a kifelé irányuló forgalmi díjakat.

Ez az architektúra egy magas rendelkezésre állású beállításjegyzéket is biztosít. Ha egy régióban kimaradás történik, a beállításjegyzék a többi régióban is elérhető marad, így a regionális üzemelő példányok megszakítás nélkül folytathatják a rendszerképek lekérését. A Contoso regionális webhookokat is konfigurálhat, hogy értesítéseket kapjon az adott replikák eseményeiről.

Képernyőkép a példaforgatókönyvről, amelyen engedélyezve van a georeplikálás, így a regisztrációs adatbázisok lekérhetők a legközelebbi replikából.

Ebben a példában a Contoso két adatbázist konszolidált egyre, és replikákat ad hozzá az USA keleti régiójához, Közép-Kanadához és Nyugat-Európához. A Contoso fizet a négy Prémium regisztrációs adatbázisért, és nincs szükség további konfigurációra vagy felügyeletre. Minden régió helyileg lekéri a képfájlokat, javítva a teljesítményt és a megbízhatóságot, és elkerülve a hálózati kimenő díjakat az USA nyugati régiójából Kanadába és az USA keleti régiójába.

Georeplikált beállításjegyzék használatának szempontjai

A georeplikációs szolgáltatás használatakor vegye figyelembe az alábbi szempontokat és javaslatokat:

  • Egy georeplikált nyilvántartás minden régiója független, miután létrejött. Az Azure Container Registry SLA-k minden georeplikált régióra vonatkoznak.
  • A földrajzilag replikált beállításjegyzék minden leküldéses vagy lekéréses lemezkép-műveletéhez az Azure Traffic Manager a háttérben kérést küld a beállításjegyzék legközelebbi helyére a régióban a hálózati késés fenntartása érdekében.
  • Miután egy kép vagy címke frissítését a legközelebbi régióba tolja, az Azure Container Registry-nek némi időbe telik, amíg a manifeszteket és rétegeket a többi régióba replikálja. A nagyobb képek sokszorosítása hosszabb időt vesz igénybe, mint a kisebbeké. A képek és címkék szinkronizálása a replikációs régiókban egy esetleges konzisztenciamodell segítségével történik.
  • A geo-replikált rendszernapló push frissítésétől függő munkafolyamatok kezeléséhez konfigurálja a webhookokat, hogy azok reagáljanak a push eseményekre. Regionális webhookokat állíthat be egy georeplikált regisztrációs adatbázisban az események befejeződésének nyomon követéséhez a georeplikált régiókban.
  • A tartalomrétegeket képviselő blobok kiszolgálásához az Azure Container Registry adatvégpontokat használ. A beállításjegyzékhez dedikált adatvégpontokat engedélyezhet a beállításjegyzék minden georeplikált régiójában. Ezek a végpontok lehetővé teszik a szigorú hatókörű tűzfal-hozzáférési szabályok konfigurálását. Hibaelhárítási okokból a replikált adatok karbantartása során opcionálisan letilthatja a replikációra irányuló útválasztást.
  • Ha privát kapcsolatot konfigurál a beállításjegyzékhez egy virtuális hálózat privát végpontjaival, a dedikált adatvégpontok alapértelmezés szerint engedélyezve lesznek az egyes georeplikált régiókban.

A magas rendelkezésre állás és rugalmasság érdekében hozzon létre egy beállításjegyzéket egy olyan régióban, amely támogatja a zónaredundanciát, és engedélyezze a zónaredundanciát minden replikarégióban. Ha a beállításjegyzék otthoni régiójában (abban a régióban, ahol létrehozta) vagy annak replikarégiójában leáll, a georeplikált beállításjegyzék továbbra is elérhető marad az adatsík-műveletekhez, például tárolólemezképek leküldéséhez vagy lekéréséhez. Ha a beállításjegyzék otthoni régiója elérhetetlenné válik, előfordulhat, hogy nem tudja végrehajtani a beállításjegyzék-kezelési műveleteket, beleértve a hálózati szabályok konfigurálását, a rendelkezésre állási zónák engedélyezését és a replikák kezelését.

Ha egy Azure-kulcstartóban tárolt, ügyfél által felügyelt kulccsal titkosított georeplikált regisztrációs adatbázis magas rendelkezésre állását szeretné megtervezni, tekintse át az Azure Key Vault átállására és redundanciájára vonatkozó útmutatót.

Georeplikáció konfigurálása

A georeplikálás konfigurálása olyan egyszerű, mintha régiókat választana ki egy térképen az Azure Portalon. A georeplikálást olyan eszközökkel kezelheti, mint az acr replication az Azure CLI parancsai. Georeplikálásra engedélyezett regisztrációs adatbázist is üzembe helyezhet egy Azure Resource Manager-sablonnal.

Replikációk létrehozásához vagy törléséhez a következő engedélyekre van szüksége egy tárolóregisztrációs adatbázishoz:

  • Microsoft.ContainerRegistry/registries/write | Replikáció létrehozása |
  • Microsoft.ContainerRegistry/registries/replications/write | Replikáció törlése |

A georeplikálás Azure Portalon való konfigurálásához nyissa meg az Azure Container Registryt. A Szolgáltatás menü Szolgáltatások területén válassza a Georeplikációs beállítások lehetőséget.

Megjelenik egy térkép, amelyen a különböző Azure-régiók láthatók. A kék hatszög a beállításjegyzék kezdőrégióját jelöli, ahol létrehozta a beállításjegyzéket. A zöld hatszögek olyan régiókat jelölnek, ahol replikákat hozhat létre. A szürke hatszögek olyan régiókat jelölnek, amelyek még nem érhetők el a replikációhoz.

Replika konfigurálásához jelöljön ki egy zöld hatszöget, majd válassza a Létrehozás lehetőséget. A Replikáció létrehozása panelen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget a replika ebben a régióban való létrehozásához. A térkép frissül, hogy egy egyszínű zöld hatszög jelenjen meg az új replikához. Ezt a folyamatot megismételve replikákat hozhat létre további régiókban.

Az alábbi példa az USA nyugati régiójában létrehozott regiszter térképét mutatja az USA keleti régiójában, Közép-Kanadában és Nyugat-Európában található replikákkal.

Képernyőkép egy térképről, amelyen egy tárolóregisztrációs adatbázis georeplikációs adatai láthatók az Azure Portalon.

Replika létrehozásakor a beállításjegyzék megkezdi a képek szinkronizálását. A szinkronizálás befejezése után az állapot a Kész állapotra frissül. Előfordulhat, hogy frissítenie kell a lapot a frissített állapot megtekintéséhez. A kezdeti replikáció után a rendszer automatikusan replikálja a beállításjegyzékbe érkező új leküldéseket az összes régióba.

Miután konfigurált egy replikát a beállításjegyzékhez, bármikor törölheti. Ha törölni szeretne egy replikát az Azure Portalon, jelölje ki a replikát, majd válassza a Törlés lehetőséget. Ha az Azure CLI használatával szeretne replikát törölni, használja a az acr replication delete parancsot. Például:

az acr replication delete --name eastus --registry myregistry

Leküldéses műveletek hibaelhárítása georeplikált adatbázisokkal

Előfordulhat, hogy a Docker-ügyfél, amely képet tölt fel egy georeplikált tárolóba, nem küldi el az összes képréteget és annak jegyzékfájlját egyetlen replikált régióba. Az Azure Traffic Manager a beállításjegyzék-kérelmeket a hálózat legközelebbi replikált beállításjegyzékéhez irányítja. Ha a beállításjegyzék két közeli replikációs régióval rendelkezik, a rendszerképrétegek és a jegyzékfájl elosztható a két helyre, és a leküldési művelet meghiúsul, amikor a jegyzéket ellenőrzik. Ez a probléma azért merül fel, mert a rendszerleíró adatbázis DNS-neve egyes Linux-állomásokon feloldásra kerül.

Ha ez a probléma felmerül, az egyik megoldás egy ügyféloldali DNS-cache, például a dnsmasq alkalmazása a Linux-állomáson. Ezzel a megoldással biztosítható, hogy a regisztrációs név következetesen legyen feloldva. Ha Linux rendszerű virtuális gépet használ az Azure-ban egy regisztrációs adatbázisba való leküldéshez, tekintse meg az Azure-beli Linux rendszerű virtuális gépek DNS-névfeloldási beállításainak beállításait.

A DNS-feloldás optimalizálása érdekében a legközelebbi replikára történő feloldás érdekében a képek tolása során konfiguráljon egy georeplikált nyilvántartást ugyanabban az Azure régióban, mint a tolatási műveletek forrása, vagy a legközelebbi régióban, ha az Azure-on kívül dolgozik.

A replikáció felé történő útválasztás ideiglenes letiltása

A georeplikált beállításjegyzékkel végzett műveletek hibaelhárításához érdemes lehet ideiglenesen letiltani a Traffic Manager útválasztását egy vagy több replikációra. Az Azure CLI 2.8-s verziójától kezdve konfigurálhat egy --region-endpoint-enabled lehetőséget (előzetes verzió), amikor replikált régiót hoz létre vagy frissít. Amikor beállítja --region-endpoint-enabled-t false-re, a Traffic Manager már nem irányítja a docker 'push' vagy 'pull' kéréseket az adott régióba. Alapértelmezés szerint az összes replikációra irányuló útválasztás engedélyezve van, és az összes replikáció adatszinkronizálása megtörténik, függetlenül attól, hogy az útválasztás engedélyezve van vagy le van tiltva.

Ha le szeretné tiltani az útválasztást egy meglévő replikációra, először futtassa az az acr replikációs listát a replikációk beállításjegyzékben való listázásához. Ezután futtassa az acr replikációs frissítést, és állítson be egy konkrét replikációt. Például a westus replikáció beállításának konfigurálása a myregistryben:

# Show names of existing replications
az acr replication list --registry myregistry --output table

# Disable routing to replication
az acr replication update --name westus \
  --registry myregistry --resource-group MyResourceGroup \
  --region-endpoint-enabled false

Az útvonal-visszaállítás replikációhoz:

az acr replication update --name westus \
  --registry myregistry --resource-group MyResourceGroup \
  --region-endpoint-enabled true

A privát végponttal engedélyezett regisztrációs adatbázisok georeplikálása

Amikor új beállításjegyzék-replikációt hoz létre a privát végponttal engedélyezett elsődleges beállításjegyzékhez, ellenőrizze, hogy a felhasználói identitás érvényes privát végpont létrehozási engedélyekkel rendelkezik-e. Ellenkező esetben előfordulhat, hogy a művelet elakad a kiépítési állapotban a replikáció létrehozásakor.

Ha a művelet elakad a kiépítési állapotban a beállításjegyzék-replikáció létrehozásakor:

  • Manuálisan törölje a kiépítési állapotban elakadt replikációt.
  • Adja hozzá a Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write felhasználói identitás engedélyét.
  • Hozza létre újra a beállításjegyzék replikációs kérését.

Ez az engedélyellenőrzés csak azokra a regisztrációs adatbázisokra vonatkozik, amelyeken engedélyezve van a privát végpont.

Következő lépések

Tekintse meg a georeplikálás az Azure Container Registryben című háromrészes oktatóanyag-sorozatot. Végigvezethet egy georeplikált beállításjegyzék létrehozásán, egy tároló létrehozásán, majd üzembe helyezésén egyetlen docker push paranccsal több regionális Web Apps for Containers-példányon.

Georeplikáció az Azure Container Registryben

  • Last updated on