手把手教你玩转阿里云ACR：从零开始搭建Docker镜像仓库

嘿，朋友！你是不是也正在被“项目部署太麻烦”、“镜像管理乱糟糟”这些问题搞得头大？别急，今天我就带你搞清楚一个超实用的工具——阿里云容器镜像服务（ACR）。不管你是刚入门的小白，还是已经踩过不少坑的老手，这篇文章都能让你轻松上手ACR，把Docker镜像管理得明明白白。

什么是ACR？它能解决啥问题？

简单来说，ACR就是阿里云提供的一个专门用来存放和管理Docker镜像的地方。你可以把它理解成“代码界的网盘”，只不过存的不是照片、文档，而是你的应用打包好的镜像文件。

以前我们可能习惯用Docker Hub来推拉镜像，但公共仓库有几个痛点：一是速度慢，尤其是国外节点；二是安全性差，毕竟谁都能访问；三是私有镜像要收费。而ACR完美解决了这些问题——速度快（国内节点）、安全可控（支持私有仓库）、还能跟阿里云ECS、Kubernetes等产品无缝对接。

举个例子：你在公司开发了一个微服务项目，每个服务都打成了Docker镜像。如果不用ACR，你可能得靠U盘拷、靠内网传，甚至直接在服务器上构建……这不仅效率低，还容易出错。但用了ACR之后，所有镜像统一上传、版本清晰、权限分明，运维同事一键就能拉取部署，简直不要太爽。

第一步：开通ACR服务

咱们先打开阿里云官网，登录账号后搜索“容器镜像服务”或者直接访问控制台页面。找到ACR之后，点击“立即开通”。一般默认会给你开通“个人版”，适合个人开发者或小团队使用，免费额度够用一阵子了。

如果你是企业用户，建议选择“企业版”，功能更全，比如支持多地域同步、镜像扫描、访问控制策略等等。不过刚开始学的话，个人版完全OK。

开通完成后，你会进入ACR控制台。这时候别慌，界面看起来有点复杂，其实核心就几个东西：命名空间、镜像仓库、镜像版本。我们一个个来看。

命名空间：给你的项目分个家

命名空间就像是一个大文件夹，用来隔离不同项目或团队的镜像。比如你可以创建一个叫myapp的命名空间，后面所有的相关镜像都放在这个下面。

怎么创建呢？在控制台左侧点“命名空间”，然后点“创建命名空间”，输入名字就行。注意命名规则：只能小写字母、数字、下划线，不能有大写或特殊符号。

镜像仓库：为具体服务建个专属仓库

有了命名空间还不够，你还得为每个具体的服务创建镜像仓库。比如你有个用户服务叫user-service，那就去创建一个对应的仓库。

操作也很简单：进到刚才创建的命名空间里，点“创建镜像仓库”，填上名称、选择是否公开（建议选私有）、描述一下用途就行。创建完之后，系统会自动生成一个完整的镜像地址，格式一般是：registry.cn-hangzhou.aliyuncs.com/你的命名空间/仓库名。

记好这个地址，后面推镜像要用。

第二步：本地配置Docker + 推送镜像

现在仓库建好了，该把本地的镜像推上去了。但在推之前，得先搞定身份认证，不然阿里云不认你啊。

获取登录凭证

回到ACR控制台，在“实例设置”里找到“访问凭证”这一项。你可以选择用主账号密码，但更推荐创建一个子用户并分配RAM权限，这样更安全。

设置好之后，你会得到一个用户名和密码。记住这两个东西，接下来要用。

登录到ACR

打开终端，输入下面这条命令：

docker login registry.cn-hangzhou.aliyuncs.com

然后按提示输入用户名和密码。成功后会显示“Login Succeeded”。

给镜像打标签

假设你本地已经有一个镜像叫user-service:v1，现在要把它推到ACR。首先得重新打个标签，让它指向ACR的地址：

docker tag user-service:v1 registry.cn-hangzhou.aliyuncs.com/myapp/user-service:v1

这一步相当于告诉Docker：“这个镜像以后要归ACR管了”。

推送镜像

最后执行推送命令：

docker push registry.cn-hangzhou.aliyuncs.com/myapp/user-service:v1

稍等片刻，你就会看到一层层的上传进度条。等全部完成，回到ACR控制台刷新一下，就能在镜像列表里看到刚刚上传的版本了！

第三步：在服务器上拉取镜像

光传上去没用，关键是要能在生产环境用起来。比如你有台ECS服务器，想从ACR拉取镜像运行。

首先确保这台ECS也配置了Docker，并且登录过ACR（用上面同样的docker login命令）。

然后执行：

docker pull registry.cn-hangzhou.aliyuncs.com/myapp/user-service:v1

由于是国内节点，下载速度飞快，几秒搞定。接着就可以跑起来了：

docker run -d -p 8080:8080 registry.cn-hangzhou.aliyuncs.com/myapp/user-service:v1

搞定！服务已经在跑了，外部可以通过IP加端口访问了。

高级玩法：自动化构建 + 触发器

手动推镜像虽然简单，但项目一多就麻烦。有没有办法让代码一提交，自动构建并推送到ACR？当然有！

ACR支持绑定GitHub、GitLab、Bitbucket，甚至阿里云自己的CodeUp。你只需要在仓库设置里开启“自动构建”，指定分支和Dockerfile路径，下次代码提交时，ACR就会自动帮你完成构建和推送。

另外还有“触发器”功能，可以设置当某个镜像更新后，自动通知K8s集群进行滚动升级，实现真正的CI/CD闭环。

安全提醒：别忘了镜像扫描

很多人只关心能不能跑起来，却忽略了安全问题。你的镜像可能依赖了一些有漏洞的基础镜像，比如旧版Ubuntu、Nginx等，这些都可能成为黑客突破口。

好在ACR提供了免费的镜像安全扫描功能。每次推送完镜像，系统会自动分析其中的软件包，列出已知漏洞。你可以在控制台查看报告，及时升级修复。

建议养成习惯：每次发布前看一眼扫描结果，高危漏洞必须处理，中低危也要评估风险。

省钱小技巧：领张优惠券再开搞

说到这儿，你可能已经跃跃欲试想动手试试了。但等等——别忘了薅羊毛！阿里云经常有活动，新用户或者老用户都能领到不少实惠。

我特意帮你找了个通用优惠入口，点击就能领取适用于ECS、ACR、OSS等各种产品的阿里云优惠券。不管是买服务器还是扩容ACR企业版，都能省一笔。反正不要钱，领了不吃亏，说不定哪天就用上了。

常见问题答疑

Q：个人版和企业版到底差在哪？

A：个人版免费，适合学习和小型项目，但只有单地域、不支持跨域复制、没有高级安全策略。企业版则功能齐全，适合生产环境，还能做多地容灾。如果你要做高可用架构，建议直接上企业版。

Q：推送镜像失败怎么办？

A：最常见的原因是没登录或者网络问题。检查docker login是否成功，也可以尝试换网络重试。另外确认镜像标签是否正确，命名空间和仓库名有没有拼错。

Q：如何删除旧镜像释放空间？

A：在ACR控制台进入镜像仓库，找到不想保留的版本，勾选后点“删除”。注意：删除后无法恢复，谨慎操作！

ACR是你值得拥有的利器

折腾一圈下来你会发现，ACR并没有想象中那么难。它就像你厨房里的冰箱——东西分类放好，保鲜又卫生，要用的时候随手就能拿出来。

只要你按照上面的步骤一步步来，不出一个小时，你就能把自己的第一个Docker镜像稳稳当当地存进阿里云仓库。从此告别混乱的手动部署，迈向现代化DevOps的第一步。

技术这东西，不怕不会，就怕不敢开始。你现在缺的不是一个教程，而是一个动手的理由。不如就趁现在，趁着还记得清楚，马上去试试吧！

对了，别忘了顺手领个阿里云优惠券，万一后面扩容用得上呢？祝你玩得愉快，有问题欢迎留言交流，咱们一起进步！。