Bosh sahifa Wiki Registry

Registry

Registry — container image va unga tegishli manifest, layer, tag hamda metadata’ni saqlaydigan va tarqatadigan xizmatdir. Docker client yoki container orchestrator image’ni registryga push qiladi va deploy vaqtida pull qiladi. Registry source repository emas; u qurilgan, content-addressed artefaktlarni versiyalar bo‘yicha yetkazadi.

Repository va tag

Registry ichidagi repository bir image nomi ostidagi manifestlarni saqlaydi, masalan registry.example.com/team/api. Tag 1.4.0 yoki latest kabi inson o‘qiydigan reference bo‘lib, manifestga ishora qiladi. Tag mutable bo‘lishi mumkin: ayni nom keyin boshqa image’ga ko‘chadi.

Digest manifest mazmunidan hosil bo‘lgan o‘zgarmas identifikator, masalan sha256:.... Deploy digest bilan pin qilinsa bir xil tag almashtirilgan bo‘lsa ham ayni image olinadi. Tag release topishni, digest esa aniq baytni tasdiqlashni osonlashtiradi.

Push va pull

Image layerlarga bo‘linadi. Push paytida registryda mavjud layer qayta yuborilmasligi mumkin. Manifest layer digestlari, config va platforma ma’lumotini bog‘laydi. Pull client avval manifestni, so‘ng yetishmayotgan layerlarni oladi va digestni tekshiradi.

Bir xil base image ishlatgan ko‘p image storage va networkda layer deduplicationdan foydalanadi. Biroq registry garbage collection reference qolmagan bloblarni o‘chirish uchun alohida jarayon talab qilishi mumkin.

Multi-platform image

Manifest list yoki OCI image index bir tag ostida linux/amd64, linux/arm64 kabi bir nechta platforma manifestini ko‘rsatadi. Client o‘z platformasiga mos variantni tanlaydi. Emulation bilan qurilgan image native platformada test qilinadi; build muvaffaqiyati barcha native dependency to‘g‘ri ishlashini kafolatlamaydi.

Autentifikatsiya va ruxsat

Private registry login yoki token talab qiladi. Permission repository bo‘yicha pull, push va delete amallariga ajratiladi. Production clusterga faqat pull huquqi, CI publisherga aniq repository uchun push huquqi beriladi.

Image pull secret namespace yoki workloadga bog‘lanishi mumkin. U manifest, log yoki source’da ochiq yozilmaydi. Token qisqa muddatli bo‘lsa o‘g‘irlangan credential ta’siri kamayadi.

Xavfsizlik va provenance

Registry image vulnerability scan qilishi mumkin, ammo scan bazasi va image dependencylari vaqt o‘tishi bilan yangilanadi. Kecha toza image bugun yangi CVE bilan zaif deb topilishi mumkin. Rebuild yangi patched base layerni oladi.

Image signature va provenance artefakt kim tomonidan, qaysi source va workflow’dan yaratilganini tekshirishga yordam beradi. Deploy policy faqat ishonchli signer va pipeline’dan kelgan image’ni qabul qilishi mumkin. Signature image kodining mantiqan xavfsizligini o‘zi isbotlamaydi.

Retention

Har commit tagini cheksiz saqlash storage’ni oshiradi. Retention release, yaqindagi build va faol deploy digestlarini saqlab, keraksiz artefaktni tozalaydi. Mutable tag o‘chirilishidan oldin uning manifesti boshqa tag yoki deployda ishlatilmayotgani tekshiriladi.

Registry availability deployga ta’sir qiladi. Node’da image cache mavjud bo‘lsa running container davom etishi mumkin, yangi node yoki restart esa pull qilolmaydi. Replikatsiya va geo mirror infratuzilma talabiga qarab ishlatiladi.

Digest va tag aniqligi

Tag inson uchun qulay o‘zgaruvchan nom, digest esa manifest mazmunidan hisoblangan o‘zgarmas identifikatordir. app:latest bugun va ertaga turli imagega ishora qilishi mumkin; app@sha256:... esa aynan bitta manifestni tanlaydi. Deployment konfiguratsiyasida digestdan foydalanish test qilingan artefaktning o‘zi chiqarilishini ta’minlaydi. Multi-platform tag avval manifest listga, undan esa arxitekturaga mos image digestiga olib boradi. Registry garbage collection reference qolmagan bloblarni o‘chirishi mumkin, shu sabab retention siyosati audit yoki rollback uchun zarur digestlarni saqlash muddatiga moslashtiriladi.

Bog‘liq tushunchalar

container image, Docker, OCI, tag, digest, image signing, artifact registry