Az Azure Container Registry ajánlott eljárásai

  • Cikk

Az ajánlott eljárások követésével maximalizálhatja a privát beállításjegyzék teljesítményét és költséghatékony használatát az Azure-ban tárolórendszerképek és egyéb összetevők tárolására és üzembe helyezésére.

A beállításjegyzék alapfogalmaival kapcsolatos háttérért lásd: A regisztrációs adatbázisok, adattárak és képek ismertetése. A tárolórendszerképek címkézésére és verziószámozására vonatkozó javaslatok című témakörben talál további információt a rendszerképek beállításjegyzékben való címkézésére és verziószámozására vonatkozó stratégiákról.

Hálózatközeli központi telepítés

A tárolóregisztrációs adatbázist ugyanabban az Azure-régióban hozza létre, amelyben a tárolókat helyezi üzembe. Ha a regisztrációs adatbázist a tároló gazdagéphez hálózatban közeli régióba telepíti, az csökkentheti a késést és a költségeket is.

A hálózatközeli központi telepítés a privát tárolóregisztrációs adatbázis használatának egyik fő oka. A Docker-rendszerképek hatékony rétegezett felépítésüknek köszönhetően növekményesen is telepíthetők. Az új csomópontoknak azonban egy adott rendszerképhez minden szükséges réteget le kell kérniük. A kezdeti docker pull hamar akár több gigabájttá nőheti ki magát. Az üzemelő példányához közeli privát regisztrációs adatbázis csökkenti a hálózati késést. A nyilvános felhők – köztük az Azure is – hálózati forgalmi díjat számítanak fel. A rendszerképek egyes adatközpontok közötti mozgatása hálózati forgalmi díjjal is jár a nagyobb mértékű késés mellett.

Többrégiós üzemelő példányok georeplikációja

Ha több régióban telepít tárolókat, használja az Azure Container Registry georeplikációs funkcióját. Ha globális ügyfélbázist szolgál ki helyi adatközpontokból, vagy fejlesztői csapatának tagjai különböző helyeken tartózkodnak, a regisztrációs adatbázis georeplikálásával egyszerűsítheti a regisztrációs adatbázis kezelését és minimalizálhatja a késést. A regionális webhookokat úgy is konfigurálhatja, hogy értesítsenek bizonyos replikák eseményeiről, például a képek leküldéséről.

A georeplikáció prémium szintű regisztrációs adatbázisokban érhető el. A georeplikáció használatának megismeréséhez tekintse meg háromrészes útmutatónkat: Georeplikáció az Azure Container Registry-ben.

A lekérési teljesítmény maximalizálása

Amellett, hogy a képeket az üzemelő példányok közelében helyezi el, maguk a képek jellemzői is befolyásolhatják a lekéréses teljesítményt.

  • Képméret – A felesleges rétegek eltávolításával vagy a rétegek méretének csökkentésével minimalizálhatja a képek méretét. A képméret csökkentésének egyik módja a többfázisú Docker-buildelési megközelítés használata, amely csak a szükséges futtatókörnyezeti összetevőket tartalmazza.

    Azt is ellenőrizze, hogy a rendszerkép tartalmaz-e világosabb alap operációsrendszer-lemezképet. Ha pedig olyan üzembehelyezési környezetet használ, mint például a Azure Container Instances, amely gyorsítótáraz bizonyos alaprendszerképeket, ellenőrizze, hogy felcserélhet-e egy képréteget az egyik gyorsítótárazott lemezképre.

  • Rétegek száma – A felhasznált rétegek számának kiegyenlítése. Ha túl kevés van, nem használhatja a réteg újrafelhasználását és gyorsítótárazását a gazdagépen. Túl sok, és az üzembehelyezési környezet több időt tölt lekéréssel és lebontással. 5–10 réteg optimális.

Válassza ki a teljesítményigényének megfelelő Azure Container Registry szolgáltatási szintjét is. A Prémium szint biztosítja a legnagyobb sávszélességet és az egyidejű olvasási és írási műveletek legmagasabb arányát nagy mennyiségű üzembe helyezés esetén.

Adattárnévterek

Adattár-névterek használatával engedélyezheti egyetlen beállításjegyzék megosztását a szervezeten belüli több csoport között. A regisztrációs adatbázisok több környezeten és csoporton keresztül is megoszthatók. Az Azure Container Registry támogatja a beágyazott névtereket, amelyekkel elkülöníthetők a csoportok. A beállításjegyzék azonban nem hierarchiaként, hanem függetlenül kezeli az összes adattárat.

Vegyük példaként a következő tárolórendszerkép-címkéket. A vállalati szintű , például aspnetcorea lemezképek a gyökérnévtérbe kerülnek, míg a Termékek és marketing csoportok tulajdonában lévő tárolórendszerképek mindegyike saját névteret használ.

  • contoso.azurecr.io/aspnetcore:2.0
  • contoso.azurecr.io/products/widget/web:1
  • contoso.azurecr.io/products/bettermousetrap/refundapi:12.3
  • contoso.azurecr.io/marketing/2017-fall/concertpromotions/campaign:218.42

Dedikált erőforráscsoport

Mivel a tárolóregisztrációs adatbázisok olyan erőforrások, amelyeket több tárológazda használ, a beállításjegyzéknek a saját erőforráscsoportjában kell lennie.

Bár kísérletezhet egy adott gazdagéptípussal, például Azure Container Instances, valószínűleg törölni szeretné a tárolópéldányt, amikor végzett. Előfordulhat azonban, hogy meg szeretné tartani azokat a rendszerképeket, amelyeket átvitt az Azure Container Registry-be. Azzal, hogy a regisztrációs adatbázis a saját erőforráscsoportjába helyezi, csökkentheti annak esélyét, hogy véletlenül törli a rendszerképeket, amikor törli a tárolópéldány erőforráscsoportját.

Hitelesítés és engedélyezés

Azure tárolóregisztrációs adatbázissal való hitelesítéskor két fő forgatókönyv fordulhat elő: az egyéni hitelesítés és a szolgáltatásos (vagy „távfelügyelt”) hitelesítés. A következő táblázat röviden bemutatja ezeket a forgatókönyveket és a hozzájuk fűződő ajánlott hitelesítési módokat.

Típus Példaforgatókönyv Javasolt módszer
Egyéni identitás Egy fejlesztő rendszerképeket hív le a saját számítógépére, vagy helyez át onnan. az acr login
Távfelügyelt/szolgáltatásos identitás Buildelési és üzembe helyezési folyamatok, amelyekben a felhasználó nem vesz közvetlenül részt. Szolgáltatásnév

Ezekről és más Azure Container Registry hitelesítési forgatókönyvekről részletes információt a Hitelesítés Azure-tárolóregisztrációs adatbázissal című témakörben talál.

Azure Container Registry támogatja a szervezet biztonsági eljárásait a feladatok és jogosultságok különböző identitásokra való elosztásához. Szerepköralapú hozzáférés-vezérléssel rendeljen hozzá megfelelő engedélyeket különböző felhasználókhoz, szolgáltatásnevekhez vagy más identitásokhoz, amelyek különböző beállításjegyzék-műveleteket hajtanak végre. Például leküldéses engedélyeket rendelhet hozzá egy buildelési folyamatban használt szolgáltatásnévhez, és lekérési engedélyeket rendelhet hozzá az üzembe helyezéshez használt másik identitáshoz. Hozzon létre jogkivonatokat az adott adattárakhoz való részletes, időkorlátos hozzáféréshez.

Regisztrációs adatbázis méretének kezelése

Az egyes tárolóregisztrációs adatbázis-szolgáltatási szintek tárolási korlátozásai egy tipikus forgatókönyvhöz igazodnak: Alapszintű az első lépésekhez, Standard a legtöbb éles alkalmazáshoz, prémium szintű a nagy léptékű teljesítményhez és a georeplikációhoz. A regisztrációs adatbázis élettartama során érdemes felügyelnie annak méretét a nem használt tartalmak törlésével.

Az az acr show-usage Azure CLI-paranccsal megjelenítheti a tároló és más erőforrások aktuális használatát a beállításjegyzékben:

az acr show-usage --resource-group myResourceGroup --name myregistry --output table

Példa a kimenetre:

NAME                        LIMIT         CURRENT VALUE    UNIT
--------------------------  ------------  ---------------  ------
Size                        536870912000  215629144        Bytes
Webhooks                    500           1                Count
Geo-replications            -1            3                Count
IPRules                     100           1                Count
VNetRules                   100           0                Count
PrivateEndpointConnections  10            0                Count

Az aktuális tárhasználatot a beállításjegyzék áttekintésében is megtalálhatja a Azure Portal:

Adattár használati adatainak megtekintése az Azure Portalon

Megjegyzés

Egy georeplikált beállításjegyzékben a tárterület használata az otthoni régióban jelenik meg. Szorozza meg a teljes felhasznált beállításjegyzék-tároló replikációinak számával.

Képadatok törlése

Azure Container Registry számos módszert támogat a rendszerképadatok tárolóregisztrációs adatbázisból való törlésére. A képeket címke vagy jegyzékkivonat alapján törölheti, vagy egy teljes adattárat is törölhet.

A lemezképadatok beállításjegyzékből való törléséről, beleértve a nem megjelölt (más néven "dangling" vagy "árva") rendszerképeket is, lásd: Tárolórendszerképek törlése Azure Container Registry. A nem megjelölt jegyzékek adatmegőrzési szabályzatát is beállíthatja.

Következő lépések

Azure Container Registry több szinten (más néven termékváltozatokban) érhető el, amelyek különböző képességeket biztosítanak. Az elérhető szolgáltatási szintekről további információt Azure Container Registry szolgáltatási szintekről talál.

A tárolóregisztrációs adatbázisok biztonsági helyzetének javítására vonatkozó javaslatokért lásd: Azure Security Baseline for Azure Container Registry.