#介绍

构建、存储和管理容器镜像是云原生应用开发流程的核心部分。Alauda Container Platform(ACP) 提供了一个高性能、高可用的内置容器镜像仓库服务，旨在为用户提供安全便捷的镜像存储和管理体验，极大简化平台内的应用开发、持续集成/持续交付（CI/CD）及应用部署流程。

Alauda Container Platform Registry 深度集成于平台架构中，相较于外部独立部署的镜像仓库，提供了更紧密的平台协作、更简化的配置以及更高效的内部访问能力。

#原则与命名空间隔离

作为平台的核心组件之一，Alauda Container Platform 内置的镜像仓库以高可用方式运行在集群内部，并利用平台提供的持久化存储能力，确保镜像数据的安全可靠。

其核心设计理念之一是基于 Namespace 的逻辑隔离与管理。在 Registry 中，镜像仓库按照命名空间进行组织。这意味着每个命名空间都可以被视为该命名空间镜像的独立“区域”，不同命名空间之间的镜像默认相互隔离，除非获得明确授权。

#认证与授权

Alauda Container Platform Registry 的认证与授权机制深度集成 ACP 平台级认证与授权系统，实现了细粒度到命名空间的访问控制：

#认证

用户或自动化流程（如平台上的 CI/CD 流水线、自动构建任务等）无需为 Registry 维护单独的账户密码。它们通过平台的标准认证机制进行身份验证（例如使用平台提供的 API Token、集成的企业身份系统等）。通过 CLI 或其他工具访问 Alauda Container Platform Registry 时，通常会利用现有的平台登录会话或 ServiceAccount Token 实现透明认证。

#授权

授权控制在命名空间级别实施。对 Alauda Container Platform Registry 中镜像仓库的 Pull 或 Push 权限，取决于用户或 ServiceAccount 在对应命名空间内所拥有的平台角色和权限。

• 通常情况下，命名空间的所有者或开发人员角色会自动获得该命名空间下镜像仓库的 Push 和 Pull 权限。
• 其他命名空间的用户或希望跨命名空间拉取镜像的用户，需由目标命名空间的管理员显式授予相应权限（例如通过 RBAC 绑定允许拉取镜像的角色），方可访问该命名空间内的镜像。
• 基于命名空间的授权机制确保了命名空间间镜像的隔离，提升安全性，避免未授权访问和修改。

#优势

Alauda Container Platform Registry 的核心优势：

• 开箱即用： 快速部署私有镜像仓库，无需复杂配置。
• 灵活访问： 支持集群内及外部访问模式。
• 安全保障： 提供 RBAC 授权和镜像扫描能力。
• 高可用性： 通过复制机制保障服务连续性。
• 生产级别： 在企业环境中验证，具备 SLA 保证。

#应用场景

• 轻量级部署： 在低流量环境中实现精简的仓库方案，加速应用交付。
• 边缘计算： 为边缘集群提供自主管理的专用镜像仓库。
• 资源优化： 在基础设施利用率不足时，通过集成的 Source to Image (S2I) 方案展示完整工作流能力。