你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Arc 已连接注册表的术语表
此术语表提供了 Azure Arc 已连接注册表扩展的术语和定义,以便进行无缝扩展部署。
术语词汇表
自动升级版本
- 定义:自动升级扩展实例的版本。
- 接受的值:
true
、false
- 默认值:
false
- 注意:Azure Connected Machine Agent 管理升级过程和自动回滚。
自带证书 (BYOC)
- 定义:允许客户使用自己的证书管理服务。
- 接受的值:Kubernetes 机密或公用证书 + 私钥对
- 注意:客户必须指定。
Cert-manager.enabled
- 定义:启用证书管理器服务以便与已连接注册表一起使用,并处理 TLS 证书管理生命周期。
- 接受的值:
true
、false
- 默认值:
true
- 注意:客户可以在部署时使用提供的证书管理器服务,也可以使用自己的服务(必须已安装)。
Cert-manager.install
- 定义:在扩展部署过程中一同安装证书管理器工具。
- 接受的值:
true
、false
- 默认值:
true
- 注意:如果客户使用自己的证书管理器服务,则必须设置为
false
。
子注册表
- 说明:与父(顶级)注册表同步的注册表。 父注册表与子注册表的模式必须匹配,这样才能确保兼容性。
客户端令牌
- 定义:管理对已连接注册表的客户端访问,允许对一个或多个存储库执行操作。
- 接受的值:令牌名称
- 注意:创建令牌后,使用
az acr connected-registry update
命令配置已连接注册表以接受该令牌。
云注册表
- 说明:已连接注册表从中同步项目的 ACR 注册表。
群集名称
- 定义:部署扩展的 Arc 群集的名称。
- 接受的值:字母数字值
群集类型
- 定义:指定用于扩展部署的 Arc 群集的类型。
- 接受的值:
connectedCluster
- 默认值:
connectedCluster
单个配置值 (--config)
- 定义:用于在 Arc Kubernetes 群集上部署已连接注册表扩展的配置参数和值。
- 接受的值:字母数字值
连接字符串
- 值类型:字母数字
- 客户操作:必须生成并指定
- 说明:连接字符串包含已连接注册表使用共享密钥授权安全地与云注册表连接并同步数据所需的授权详细信息。 它包括已连接注册表名称、同步令牌名称、同步令牌密码、父网关终结点和父终结点协议。
已连接注册表
- 说明:本地或远程注册表副本,有助于本地访问从 ACR 注册表同步的容器化工作负载。
已启用数据终结点
- 定义:为客户端防火墙配置启用专用数据终结点。
- 接受的值:
true
、false
- 默认值:
false
- 注意:必须启用才能成功创建已连接注册表。
扩展类型
- 定义:指定用于扩展部署的扩展提供程序的唯一名称。
- 接受的值:
Microsoft.ContainerRegistry.ConnectedRegistry
- 默认值:
Microsoft.ContainerRegistry.ConnectedRegistry
Kubernetes 机密
- 定义:Kubernetes 托管机密,用于在群集内跨 Pod 安全地访问数据。
- 接受的值:机密名称
- 注意:客户必须指定。
消息 TTL(生存时间)
- 值类型:数值
- 默认值/行为:每两天
- 说明:消息 TTL 定义了同步消息在云中保留的持续时间。 当同步计划是连续的时,此值不适用。
模式
- 接受的值:
ReadOnly
和ReadWrite
- 默认值/行为:
ReadOnly
- 说明:定义客户端访问已连接注册表的操作权限。 在
ReadOnly
模式下,客户端只能拉取(读取)项目,这也适用于嵌套场景。 在ReadWrite
模式下,客户端可以拉取(读取)和推送(写入)项目,这非常适合本地开发环境。
父注册表
- 说明:与子连接注册表同步的主注册表。 单个父注册表可以有多个子注册表与其连接。 在嵌套场景中,层次结构中可以有多层注册表。
受保护的设置文件 (--config-protected-file)
- 定义:包含连接字符串的文件,用于在 Kubernetes 群集上部署已连接注册表扩展。 此文件还包括用于 BYOC 场景的 Kubernetes 机密或公用证书 + 私钥值对。
- 接受的值:字母数字值
- 注意:客户必须指定。
公用证书 + 私钥
- 值类型:字母数字的 base64 编码
- 客户操作:必须指定
- 说明:公钥证书包含一对密钥:一个可供任何人进行证书持有者身份验证的公钥,以及一个私钥(唯一的密钥)。
Pvc.storageClassName
- 定义:指定群集上使用的存储类。
- 接受的值:
standard
、azurefile
Pvc.storageRequest
- 定义:指定已连接注册表在群集中声明的存储大小。
- 接受的值:字母数字值(例如“500Gi”)
- 默认值:
500Gi
Service.ClusterIP
- 定义:Kubernetes 服务群集 IP 范围内的 IP 地址。
- 接受的值:IPv4 或 IPv6 格式
- 注意:客户必须指定。 不在该范围内的错误 IP 将导致扩展部署失败。
同步令牌
- 定义:每个已连接注册表用于与其直接父级进行内容同步和更新的身份验证令牌。
- 接受的值:令牌名称
- 操作:需要客户执行操作。
同步计划
- 值类型:数值
- 默认值/行为:每分钟
- 说明:同步计划通过 cron 表达式设置,确定了注册表与其父级同步的频率。
同步窗口
- 值类型:字母数字
- 默认值/行为:每小时
- 说明:同步窗口指定了同步的持续时间。 如果同步计划是连续的,则忽略此参数。
TrustDistribution.enabled
- 定义:信任分发是指在已连接注册表与 Kubernetes 群集中的所有客户端节点之间安全地分发信任的过程。 启用后,所有节点都会配置信任分发。
- 接受的值:
true
、false
- 注意:客户必须选择
true
或false
。
TrustDistribution.useNodeSelector
- 定义:默认情况下,负责配置容器运行时环境 (containerd) 的信任分发 daemonset 将在群集中的所有节点上运行。 但是,启用此设置后,信任分发仅限于那些专门标记为
containerd-configured-by: connected-registry
的节点。 - 接受的值:
true
、false
- 标签:
containerd-configured-by=connected-registry
- 用于指定信任分发的节点的命令:
kubectl label node/[node name] containerd-configured-by=connected-registry
注册表层次结构
- 说明:已连接注册表的结构,其中每个已连接注册表都链接到一个父注册表。 在此层次结构中,顶级父注册表是 ACR 注册表。