17.2.4 配置Docker可信镜像仓库服务(DTR)
本书前面的章节介绍了如何安装DTR、如何将其接入后端共享存储、如何配置高可用以及如何使DCP和DTR共享一个公共的单点登录子系统。但仍然有一些重要的配置未涉及,下面予以介绍。
大多数的DTR配置项可在DTR Web界面的 Settings (设置)页中进行设置。
在 General (通用)页签中可以配置以下内容。
- 自动更新设置。
- 许可。
- 负载均衡地址。
- 证书。
- 单点登录。
使用 Domains & proxies (域&代理)下的 TLS Settings (TLS设置)可以修改UCP使用的证书。默认情况下,DTR使用自签名证书,但是用户可以在该页面配置自定义的证书。
Storage (存储)页签用来配置 镜像存储 所使用的后端存储。这一点在第16章配置共享的Amazon S3后端存储用于DTR高可用的时候介绍过。其他存储相关的选项包括其他云服务提供商的对象存储服务,以及卷和共享NFS的配置。
Security (安全)页签用于开启或关闭镜像扫描(Image Scanning)——采用二进制级别的扫描来查找镜像中的缺陷。在开启镜像扫描的情况下,用户可以选择基于在线(online)或离线(offline)方式来更新缺陷库。在线方式会自动通过互联网同步数据库,而离线方式则用于无法接入互联网的DTR实例,通过手动更新数据库来完成。
关于镜像扫描的更多信息请见第15章。
最后,但同样重要的一点是 Garbage Collection (垃圾回收)页签,当镜像库中的镜像层不再被引用时,DTR会对这些镜像层进行垃圾回收,该页签用于进行与之相关的配置。默认情况下,不被引用的镜像层不会被回收,从而会导致磁盘空间的浪费。如果启用垃圾回收,不被任何镜像引用的镜像层便会被删除,而被至少一个镜像引用的镜像层不会被删除。
关于镜像及其如何引用镜像层的更多内容,请见第6章。
关于DTR的配置就介绍这些,下面看一下如何使用DTR。