跳到正文
TAIP

产品 / 面向 AI 开发者

ImageSphere

正式可用

一个把身份、运行时策略与物理隔离部署当作一等功能的 OCI 制品仓库。

ImageSphere 是一个 OCI 原生制品仓库,把访问控制、身份与日常运维当作产品功能,而非事后补丁。它可托管容器镜像、Helm Chart、ML 模型等任何 OCI 制品——配备 Web 界面、由您的 IdP 组驱动的管理员体系、运行时可修改且重启不丢的访问策略、带实时用量的命名空间存储配额、面向 CI/CD 的命名空间级机器人账号、不可变标签、内置 Cosign/Notation 校验,以及按命名空间的 CVE 准入策略。Helm Chart 是核心制品——自动识别并渲染其 values.yaml 与 README,可在“仅 Chart”视图中筛选。一个二进制,三种部署形态:Kubernetes、经 TAIP 发布流程的物理隔离部署、systemd 裸机。

规格

版本
v1.5.16 — 正式可用
协议
OCI Distribution 规范 · 内置 /v2/token 令牌服务
形态
Kubernetes · 物理隔离部署 · systemd 裸机
治理
运行时可改策略 · 配额 · CVE 准入 · 机器人账号 · 不可变标签 · 审计日志
存储
本地磁盘 · S3 · GCS
语言
English · 简体中文

用实证说话

一段代码看明白。

没有私有 SDK,无需改写—— ImageSphere 在现有工具所在之处完成对接。

标准客户端,受治理的仓库
$ docker push registry.intra.example/team-a/app:v1
已推送 — 在 team-a 配额内(412 GiB / 500 GiB)

$ helm push chart.tgz oci://registry.intra.example/team-a
$ cosign verify registry.intra.example/team-a/app:v1
# 策略、配额与写入组,都可在管理界面里实时修改

纯 OCI Distribution 规范——docker、helm、oras 无需修改即可使用。内置令牌服务,无需额外部署任何组件。

核心能力

ImageSphere 为您带来什么

01

OCI 原生,没有私有协议

标准 OCI Distribution 规范——Docker、Helm、ORAS 及任何兼容客户端无需修改即可使用。内置 /v2/token 端点,无需单独部署令牌服务。Helm Chart 被当作 Chart 对待——values、README 与安装提示直接在界面中渲染,而非作为不透明的二进制块存放。

02

身份来自您的 IdP

OIDC SSO 与后通道登出。管理员身份跟随 IdP 组——提升管理员只是在 IdP 里点一下,而不是重新部署。机器人账号为 CI/CD 提供命名空间级凭据,不依附于任何个人。

03

访问控制运行时可改

在管理界面中直接编辑命名空间策略、用户组、写入权限、配额与不可变标签规则。变更持久化在元数据存储中,重启不丢——配置文件作默认值,运行时覆盖优先。一条只追加的审计日志、Prometheus 指标,以及一份内置的中英双语用户指南,补全 day-2 运维。

04

物理隔离部署是核心能力

通过 TAIP 物理隔离发布流程交付:Chart 与镜像预先打包,OIDC 应用注册自动完成。同一个二进制也可在裸机上以 systemd、htpasswd 与 TLS 运行。

工作原理

从推送到拉取,全程受治理。

  1. 步骤 01

    推送任何 OCI 制品

    容器镜像、Helm Chart、ML 模型、OPA 策略包。标准 /v2/ 端点;内置令牌服务支持 `docker login`。

  2. 步骤 02

    身份决定权限

    OIDC SSO、基于组的管理员、运行时可改的命名空间策略。在 IdP 中办理离职,仓库随之收回权限。

  3. 步骤 03

    拉取、签名、扫描

    Cosign / Notation 校验、带按命名空间准入策略的 CVE 扫描、命名空间存储配额——在 Kubernetes、物理隔离环境与裸机上,是同一套机制。

适用团队

为这些团队而建

  • 构建自助式 OCI 仓库的内部平台团队
  • 物理隔离、合规与边缘部署场景
  • 想要 Cosign 与 CVE 扫描、但不想为此再养一套控制平面的人