Поделиться через

Что такое подключенный реестр?

  • Статья

В этой статье вы узнаете о возможности подключенного реестра в Реестре контейнеров Azure. Подключенный реестр — это локальная или удаленная реплика, которая синхронизирует образы контейнеров с облачным реестром контейнеров Azure. Используйте подключенный реестр, чтобы ускорить доступ к артефактам реестра в локальной или удаленной среде.

Выставление счетов и поддержка

Подключенный реестр является предварительной версией функции службы реестра контейнеров уровня Премиум, и на него распространяются ограничения. Ознакомиться с информацией об уровнях служб реестра и ограничениях можно в статье Уровни служб Реестра контейнеров Azure.

Внимание

Обратите внимание, что с 1 января 2025 г. существуют важные изменения в поддержке и выставлении счетов в подключенном реестре. Для любых запросов или помощи при переходе обратитесь к группе поддержки клиентов.

Выставление счетов

  • Подключенный реестр не несет никаких затрат до достижения стадии общей доступности.
  • После выпуска GA ежемесячная цена в размере $10 будет применяться за каждый развернутый подключенный реестр.
  • Эта цена представляет собой обязательство Корпорации Майкрософт обеспечить высококачественные услуги и поддержку продуктов.
  • Цена применяется к подписке Azure, связанной с родительским реестром.

Поддержка

  • Корпорация Майкрософт завершит поддержку развертывания подключенного реестра на устройствах IoT Edge 1 января 2025 г.
  • После 1 января 2025 г. подключенный реестр будет поддерживать кластеры Kubernetes с поддержкой Arc в качестве модели развертывания.
  • Корпорация Майкрософт рекомендует пользователям начать планирование перехода на кластеры Kubernetes с поддержкой Arc в качестве модели развертывания.

Доступные регионы

Подключенный реестр можно развернуть в любом регионе, где доступен реестр контейнеров Azure.

Сценарии

Облачный реестр контейнеров Azure предоставляет такие возможности, как георепликация, встроенная безопасность, управляемое хранилище Azure и интеграция с конвейерами разработки и развертывания Azure. В то же время клиенты расширяют свои инвестиции в облако, включая решения на местах и локальные решения.

Чтобы рабочие нагрузки обеспечивали требуемую производительность и надежность в локальных или удаленных средах, необходимо, чтобы образы контейнеров и связанные с ними артефакты были доступны в непосредственной близости. Подключенный реестр представляет собой эффективное локальное решение для реестра, которое регулярно синхронизирует содержимое с облачным реестром контейнеров Azure.

Сценарии для подключенного реестра включают в себя:

  • Подключенные фабрики
  • Места розничной торговли
  • Судоходство, бурение нефтяных скважин, добыча полезных ископаемых и другие периодически подключаемые среды

Как работает подключенный реестр?

Подключенный реестр развертывается на сервере или устройстве локально или в среде, поддерживающей рабочие нагрузки контейнеров в локальной среде, например Azure IoT Edge и Kubernetes с поддержкой Azure Arc. Подключенный реестр синхронизирует образы контейнеров и другие артефакты OCI с облачным реестром контейнеров Azure.

На следующем рисунке показана типичная модель развертывания для подключенного реестра с помощью IoT Edge.

Схема обзора подключенного реестра с помощью IoT Edge.

На следующем рисунке показана типичная модель развертывания для подключенного реестра с помощью Kubernetes с поддержкой Azure Arc.

Схема обзора подключенного реестра с помощью Kubernetes с поддержкой Arc.

Развертывание

Каждый подключенный реестр — это ресурс, управляемый в облачном реестре контейнеров Azure. Главный родительский элемент в подключенной иерархии реестра — это реестр контейнеров Azure в облаке Azure. Подключенный реестр можно развернуть в кластерах Kubernetes с поддержкой Azure IoT Edge или Arc.

Чтобы установить подключенный реестр, используйте средства Azure на сервере или устройстве в локальной среде или в среде, поддерживающей локальные рабочие нагрузки контейнеров, такие как Azure IoT Edge.

Разверните расширение подключенного реестра Arc в кластере Kubernetes с поддержкой Arc. Защита подключения с помощью TLS с помощью конфигураций по умолчанию для доступа только для чтения и непрерывного окна синхронизации. Эта настройка позволяет подключенному реестру синхронизировать образы из реестра контейнеров Azure (ACR) с подключенным реестром в локальной среде, что позволяет извлекать образы из подключенного реестра.

Состояние активации подключенного реестра указывает на то, развернут ли он в локальной среде.

  • Активный. Подключенный реестр в настоящее время развернут в локальной среде. Его нельзя развернуть еще раз, пока он не будет отключен.
  • Неактивный. Подключенный реестр в настоящее время не развернут в локальной среде. В настоящее время его можно развернуть.

Синхронизация содержимого

Подключенный реестр регулярно обращается к облачному реестру для синхронизации образов контейнеров и артефактов OCI.

Кроме того, его можно настроить так, чтобы он синхронизировал подмножество репозиториев из облачного реестра или выполнял синхронизацию только в течение определенных интервалов, что позволит уменьшить трафик между облаком и локальной средой.

Режимы

Подключенный реестр может работать в одном из двух режимов: ReadWrite или ReadOnly.

Режим только для чтения — это режим по умолчанию, при котором, когда подключенный реестр находится в режиме только для чтения, клиенты могут только извлекать (читать) артефакты. Эта конфигурация используется в сценариях, когда клиентам необходимо извлечь образ контейнера для работы. Этот режим по умолчанию соответствует нашему безопасному по умолчанию подходу и действует начиная с CLI версии 2.60.0.

Режим чтения и записи — этот режим позволяет клиентам загружать и отправлять артефакты в подключенный реестр (чтение и запись). Артефакты, переданные в подключенный реестр, будут синхронизированы с облачным реестром. Режим ReadWrite полезен при наличии локальной среды разработки. В этом случае образы отправляются в локальный подключенный реестр и оттуда синхронизируются с облаком.

Иерархия реестра

Каждый подключенный реестр должен быть подключен к родителю. Верхний родительский элемент — это облачный реестр. Для иерархических сценариев, таких как вложенный IoT Edge, подключенные реестры можно вложить в любом режиме. Родитель, подключенный к облачному реестру, может работать в любом режиме.

Дочерние реестры должны поддерживать возможности родительских. Таким образом, режимы ReadOnly и ReadWrite подключенных реестров могут быть дочерними элементами подключенного реестра, работающего в режиме ReadWrite, но только реестр режима ReadOnly может быть дочерним элементом подключенного реестра, работающего в режиме ReadOnly.

Доступ через клиенты

Локальные клиенты используют стандартные средства, такие как Интерфейс командной строки Docker, для отправки или извлечения содержимого из подключенного реестра. Для управления доступом клиентов создаются маркеры реестра контейнеров Azure, которые позволяют получать доступ к каждому подключенному реестру. Вы можете ограничить область действия маркеров клиента, предоставив доступ на получение или отправку к одному или нескольким репозиториям в реестре.

Каждый подключенный реестр также должен регулярно обмениваться данными со своим родительским реестром. Для этой цели реестр выдает токен синхронизации (маркер синхронизации) в облачном реестре. Этот токен используется для проверки подлинности в родительском реестре для операций синхронизации и управления.

Дополнительные сведения см. в статье об управлении доступом к подключенному реестру.

Ограничения

  • Количество токенов и карт областей ограничено до 20 000 для одного реестра контейнеров. Это косвенно ограничивает количество подключенных реестров для облачного реестра, так как каждый подключенный реестр нуждается в синхронизации и маркере клиента.
  • В карте области количество разрешений репозитория ограничено 500.
  • Количество клиентов для подключенного реестра в настоящее время ограничено 20 участниками.
  • Блокировка образа с помощью метаданных репозитория или манифеста или тега в настоящее время не поддерживается для подключенных реестров.
  • Удаление репозитория не поддерживается в подключенном реестре с помощью режима ReadOnly.
  • Журналы ресурсов для подключенных реестров в настоящее время не поддерживаются.
  • Подключенный реестр связан с конечной точкой данных в домашнем регионе реестра. Автоматическая миграция для георепликации не поддерживается.
  • Для удаления подключенного реестра необходимо вручную удалить контейнеры локально и удалить соответствующую карту области или маркеры в облаке.
  • Ограничения синхронизации подключенного реестра приведены следующим образом:
    • Для непрерывной синхронизации:
      • minMessageTtl — один день
      • maxMessageTtl — 90 дней
    • Для иногда подключенных сценариев, где требуется указать окно синхронизации:
      • minSyncWindow — 1 час
      • maxSyncWindow составляет семь дней

Заключение

В этой обзорной статье вы узнали о подключенном реестре и некоторых его основных понятиях. Переходите к следующим статьям, чтобы узнать о конкретных сценариях, в которых можно использовать подключенный реестр.