极狐GitLab 容器镜像堆栈功能介绍

极狐GitLab 是 GitLab 在中国的发行版，关于中文参考文档和资料有：

• 极狐GitLab 中文文档
  
• 极狐GitLab 中文论坛
  
• 极狐GitLab 官网
  

极狐GitLab 容器镜像库 (BASIC ALL)

---

您可以利用集成的容器镜像库，来存储每个极狐GitLab 项目的容器镜像。
要为您的极狐GitLab 实例启用容器镜像库，请参阅管理员文档。
NOTE:如果您从 Docker Hub 拉取容器镜像，您还可以利用 GitLab Dependency Proxy 来避免遇到速率限制并加快流水线速度。
查看容器镜像堆栈

---

您可以查看项目或群组的容器镜像堆栈。
1.转到您的项目或群组。
2.转至 部署 > 容器镜像库。
您可以在此页面上搜刮、排序、过滤和删除容器镜像。您可以通过从浏览器复制 URL 来共享过滤视图。
在容器镜像堆栈中查看指定容器镜像的标签

您可以利用容器镜像哭的 标签详情 页面来查看与给定的容器镜像关联的标签列表：
1.在左侧边栏中，选择 搜刮或转到 并找到您的项目或群组。
2.在左侧边栏中，选择 部署 > 容器镜像库。
3.选择您的容器镜像。
那你可以查看每个标签的详细信息，比方发布时间、斲丧的存储量以及清单和配置摘要。
您可以在此页面上搜刮、排序（按标签名称）并删除标签。
您可以通过从浏览器复制 URL 来共享过滤视图。
利用来自容器镜像堆栈的镜像

---

要下载并运行托管在容器镜像堆栈中的容器镜像：
1.在左侧导航栏，选择 搜刮或转到 并找到您的项目或群组。
2.在左侧导航栏，选择 部署 > 容器镜像库。
3.找到您想要工作的容器镜像，然后选择 复制镜像路径 （{copy-to-clipboard}）。
4.利用 docker run 命令，利用复制的链接:

1. docker run [选项] registry.example.com/group/project/image [参数]

复制代码

NOTE:您必须利用身份验证以从私有堆栈下载容器镜像。
镜像命名约定

---

镜像遵循以下命名约定：

1. <registry URL>/<namespace>/<project>/<image>

复制代码

比方，如果您的项目是 gitlab.example.com/mynamespace/myproject，那么您的镜像必须至少命名为 gitlab.example.com/mynamespace/myproject/my-app。
您可以将其他名称附加到镜像名称的末端，深度最多为三层。
比方，这些都是名为 myproject 的项目中镜像的全部有效镜像名称：

1. registry.example.com/mynamespace/myproject:some-tag

复制代码

1. registry.example.com/mynamespace/myproject/image:latest

复制代码

1. registry.example.com/mynamespace/myproject/my/image:rc1

复制代码

移动或重命名容器镜像库镜像

---

容器堆栈的路径总是匹配与相关项目的堆栈路径，因此只能移动或重命名容器镜像库，而不是项目自己。相反地，您可以重命名或移动整个项目。
重命名容器堆栈的项目仅在 JihuLab.com 上支持。
在私有化部署实例上，在移动或重命名群组和项目之前，您可以删除全部容器镜像。
为项目禁用容器镜像堆栈

---

默认环境下，容器镜像堆栈是启用的。
然而，您可以为项目移除容器镜像堆栈：
1.在左侧导航栏，选择 搜刮或转到 并找到您的项目。
2.选择 设置 > 通用。
3.展开可见性、项目功能、权限部分并禁用 容器堆栈。
4.选择 保存更改。
部署 > 容器镜像库 入口从项目的左侧导航栏中删除。
更改容器镜像库的可见性

默认环境下，每个有权访问项目的人都可以看到容器镜像堆栈。但是，您可以更改项目的容器镜像堆栈的可见性。
有关此设置授予用户的权限的更多详细信息，请参阅 容器镜像堆栈可见性权限。
1.在左侧导航栏，选择 搜刮或前往 并找到您的项目。
2.选择 设置 > 通用。
3.展开可见性、项目功能、权限部分。
4.在 容器镜像库 下，从下拉列表中选择一个选项：

• 具有访问权限的任何人（默认）：容器镜像堆栈对全部有权访问项目的人可见。如果项目是公开的，那么容器镜像堆栈也是公开的。如果项目是内部的或私有的，那么容器镜像堆栈也是内部的或私有的。
  
• 仅项目成员：容器镜像堆栈仅对具有陈诉者角色或更高角色的项目成员可见。这类似于将容器镜像堆栈可见性设置为 具有访问权限的任何人 的私有项目的行为。
  

5.选择 保存修改。
容器镜像库可见性权限

---

查看 Container Registry 和拉取镜像的本事由 Container Registry 的可见性权限控制。您可以通过 UI 上的可见性设置 或 API 更改。其它权限如更新 Container Registry、推送或删除镜像等不受此设置影响。但是，禁用 Container Registry 会禁用全部 Container Registry 利用。
匿名（互联网上的任何人）Guest陈诉者、开发者、维护者和全部者具有 Container Registry 可见性的公开项目 设置为 具有访问权限的任何人 (UI) 或 enabled (API)查看容器镜像库 并拉取镜像YesYesYes具有 Container Registry 可见性的公开项目 设置为 仅项目成员 (UI) 或 private (API)查看容器镜像库 并拉取镜像NoNoYes具有 Container Registry 可见性的内部项目 设置为 具有访问权限的任何人 (UI) 或 enabled (API)查看容器镜像库 并拉取镜像NoYesYes具有 Container Registry 可见性的内部项目 设置为 仅项目成员 (UI) 或 private (API)查看容器镜像库 并拉取镜像NoNoYes具有 Container Registry 可见性的私有项目 设置为 具有访问权限的任何人 (UI) 或 enabled (API)查看容器镜像库 并拉取镜像NoNoYes具有 Container Registry 可见性的私有项目 设置为 仅项目成员 (UI) 或 private (API)查看容器镜像库 并拉取镜像NoNoYes容器镜像库设置为 disabled 的任何项目Container Registry 上的全部利用NoNoNo 支持的镜像范例

---

   

• OCI 一致性引入于极狐GitLab 16.6。
  

  容器镜像堆栈支持 Docker V2 和 OCI 格式的镜像。此外，容器镜像堆栈遵循 OCI 分发规范。
OCI 支持意味着您可以在堆栈中托管 OCI 格式的镜像，比方 Helm 3+ chart 软件包。在极狐GitLab API 和 UI 中，没有格式之间的区别。
容器镜像签名

   

• 容器镜像签名展示引入于极狐GitLab 17.1。
  

  在极狐GitLab 容器镜像堆栈中，您可以利用 OCI 1.1 manifest subject 字段来关联具有Cosign 签名的容器镜像。
您可以在没有搜刮该签名标签的环境下查看与其关联的容器镜像的签名信息。
当查看容器镜像的标签时，在每个具有关联签名的标签旁边显示图标。要查看签名的详细信息，选择图标。
先决条件：

• 要签署容器镜像，需要 Cosign v2.0 或更高版本。
  
• 对于私有化部署实例，您需要配置极狐GitLab 容器堆栈以利用元数据数据库，以便显示签名。
  

用 OCI 引用数据签名容器镜像

要利用 Cosign 向签名添加引用数据时，您必须：

• 设置 COSIGN_EXPERIMENTAL 环境变量为 1。
  
• 将 --registry-referrers-mode oci-1-1 添加到签名命令中。
  

比如：

1. COSIGN_EXPERIMENTAL=1 cosign sign --registry-referrers-mode oci-1-1 <container image>

复制代码

NOTE:尽管极狐GitLab 容器镜像堆栈支持 OCI 1.1 manifest 的 subject 字段，但它不完全实现 OCI 1.1 Referrers API。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。