分享方式:


什麼是已連線登錄?

在本文中,您可以了解 Azure Container Registry「已連線登錄」功能。 已連線登錄檔是內部部署或遠端複本,可將容器映像與您的雲端式 Azure Container Registry 同步。 使用已連線登錄檔,協助加速存取內部部署或遠端的登錄成品。

帳單與支援

已連線登錄是「進階版」容器登錄服務層的預覽功能,並且有其限制。 如需登錄服務層級和限制的相關資訊,請參閱 Azure Container Registry 服務層級

重要

請注意,從2025年1月1日起,已連線登錄檔部署模型支援和計費有即將進行的重要變更。 如需轉換的任何查詢或協助,請連絡客戶支援小組。

計費

  • 已連線登錄檔在正式發行 (GA) 前不會產生任何費用。
  • GA 後,每個已部署已連線登錄檔的每月價格為 10 美元。
  • 此價格代表 Microsoft 承諾提供高品質的服務和產品支援。
  • 價格會套用至與父登錄相關聯的 Azure 訂用帳戶。

支援

  • Microsoft 將於 2025 年 1 月 1 日結束對 IoT Edge 裝置上已連線登錄檔部署的支援。
  • 在 2025 年 1 月 1 日之後,已連線登錄檔將僅支援已啟用 Arc 的 Kubernetes 叢集作為部署模型。
  • Microsoft 建議使用者開始規劃轉換至已啟用 Arc 的 Kubernetes 叢集作為部署模型。

可用區域

下列大陸和區域提供已連線登錄檔:

| Continent     | Available Regions |
|---------------|-------------------|
| Australia     | Australia East    |
| Asia          | East Asia         |
|               | Japan East        |
|               | Japan West        |
|               | Southeast Asia    |
| Europe        | North Europe      |
|               | Norway East       |
|               | West Europe       |
| North America | Canada Central    |
|               | Central US        |
|               | East US           |
|               | South Central US  |
|               | West Central US   |
|               | West US 3         |
| South America | Brazil South      |

案例

雲端式 Azure Container Registry 所提供的功能包括異地複寫、整合式安全性、Azure 受控儲存體,以及與 Azure 開發和部署管線的整合。 同時,客戶正在將其雲端投資延伸到內部部署和現場解決方案。

若要在內部部署或遠端環境中以所需的效能和可靠性執行,容器工作負載需要容器映像和相關成品就在附近。 已連線登錄提供高效能的內部部署登錄解決方案,可定期同步內容與雲端式 Azure Container Registry。

已連線登錄的案例包括:

  • 已連線處理站
  • 銷售點零售位置
  • 運送、油鑽、採礦和其他偶爾連線的環境

已連線登錄如何運作?

已連線登錄檔會部署在伺服器或裝置內部部署,或支援內部部署容器工作負載的環境,例如 Azure IoT Edge 和已啟用 Azure Arc 的 Kubernetes。 已連線登錄檔會將容器映像和其他 OCI 成品與雲端式 Azure Container Registry 同步。

下圖顯示使用 IoT Edge 之已連線登錄檔的一般部署模型。

使用 IoT Edge 的已連線登錄檔概觀圖表。

下圖顯示使用已啟用 Azure Arc 的 Kubernetes 已連線登錄檔的一般部署模型。

使用已啟用 Arc 的 Kubernetes 已連線登錄檔概觀圖表。

部署

每個已連線登錄檔都是您在雲端式 Azure Container Registry 內管理的資源。 已連線登錄檔階層中的上層父代是 Azure 雲端中的 Azure Container Registry。 已連線登錄檔可以部署在 Azure IoT Edge 或已啟用 Arc 的 Kubernetes 叢集上。

若要安裝已連線登錄,請在內部部署伺服器或裝置或是支援內部部署容器工作負載的環境上使用 Azure 工具,例如 Azure IoT Edge

將已連線登錄檔 Arc 延伸模組部署至已啟用 Arc 的 Kubernetes 叢集。 使用預設組態來保護與 TLS 的連線,以用於唯讀存取和持續同步視窗。 此設定可讓已連線登錄檔將映像從 Azure Container Registry (ACR) 同步至內部部署已連線登錄檔,讓映像從已連線登錄檔提取。

已連線登錄的「啟用狀態」會指出是否已部署在內部部署環境。

  • 作用中 - 已連線登錄目前部署在內部部署環境。 除非停用,否則無法再次進行部署。
  • 未作用中 - 已連線登錄未部署在內部部署環境。 此時可以進行部署。

內容同步

已連線登錄會定期存取雲端登錄,以將容器映像與 OCI 成品同步。

也可以設定為從雲端登錄同步一部分的存放庫,或只在特定間隔期間進行同步,以減少雲端與內部部署之間的流量。

模式

已連線登錄可以使用兩種模式中的其中一種運作:ReadWriteReadOnly

ReadOnly 模式 - 預設模式,已連線登錄檔處於 ReadOnly 模式時,用戶端只能提取 (讀取) 成品。 此組態用於用戶端需要提取容器映像才能運作的案例。 此預設模式符合我們的預設安全方法,且從 CLI 2.60.0 版開始生效。

ReadWrite 模式 - 此模式可讓用戶端對已連線登錄檔提取和推送 (讀取和寫入) 成品。 推送至已連線登錄的成品將會與雲端登錄同步。 本機開發環境就緒時,ReadWrite 模式十分有用。 映像會推送至本機已連線登錄,並從該處與雲端同步。

登錄階層

每個已連線登錄都必須連線至父代。 上層父代是雲端登錄。 針對巢狀 IoT Edge 這類階層式案例,您可以使用任一模式來巢狀處理已連線登錄。 連線至雲端登錄的父代可以在任一模式中運作。

子系登錄必須與其父代功能相容。 因此,已連線登錄檔的 ReadOnly 和 ReadWrite 模式都可以是 ReadWrite 模式中已連線登錄檔的子系,但只有 ReadOnly 模式登錄可以是 ReadOnly 模式中運作的已連線登錄檔的子系。

用戶端存取

內部部署用戶端會使用 Docker CLI 這類標準工具,從已連線登錄檔推送或提取內容。 若要管理用戶端存取,您可以建立 Azure Container Registry 權杖,以存取每個已連線登錄。 您可以將用戶端權杖的範圍設定為對登錄中的一或多個存放庫進行提取或推送存取。

每個已連線登錄也需要定期與其父代登錄通訊。 因此,雲端登錄會向登錄發出同步權杖 (同步權杖)。 此權杖用來向其父代登錄進行驗證,以進行同步和管理作業。

如需詳細資訊,請參閱管理已連線登錄的存取權

限制

  • 單一容器登錄的權杖和範圍對應數目限制 為各 20,000 個。 這會間接限制雲端登錄的已連線登錄檔數目,因為每個已連線登錄檔都需要同步和用戶端權杖。
  • 範圍對應中的存放庫權限數目限制為 500。
  • 已連線登錄的用戶端數目目前限制為 20。
  • 已連線登錄檔目前不支援透過存放庫/資訊清單/標記中繼資料進行映像鎖定
  • 使用 ReadOnly 模式的已連線登錄檔不支援存放庫刪除
  • 目前不支援已連線登錄的資源記錄
  • 已連線登錄會與登錄的主區域資料端點結合。 不支援異地複寫的自動移轉。
  • 刪除已連線登錄檔需要手動移除內部部署容器,以及移除雲端中個別的範圍對應或權杖。
  • 已連線登錄同步限制如下:
    • 針對持續同步:
      • minMessageTtl 是 1 天
      • maxMessageTtl 是 90 天
    • 針對偶爾連線的案例,您想要指定同步視窗:
      • minSyncWindow 是 1 小時
      • maxSyncWindow 是 7 天

結論

在此概觀中,您已了解已連線登錄和一些基本概念。 請繼續進行下列其中一篇文章,以了解可使用已連線登錄的特定案例。