产品 / 面向 AI 开发者
ImageSphere
正式可用一个把身份、运行时策略与物理隔离部署当作一等功能的 OCI 制品仓库。
ImageSphere 是一个 OCI 原生制品仓库,把访问控制、身份与日常运维当作产品功能,而非事后补丁。它可托管容器镜像、Helm Chart、ML 模型等任何 OCI 制品——配备 Web 界面、由您的 IdP 组驱动的管理员体系、运行时可修改且重启不丢的访问策略、带实时用量的命名空间存储配额、面向 CI/CD 的命名空间级机器人账号、不可变标签、内置 Cosign/Notation 校验,以及按命名空间的 CVE 准入策略。Helm Chart 是核心制品——自动识别并渲染其 values.yaml 与 README,可在“仅 Chart”视图中筛选。一个二进制,三种部署形态:Kubernetes、经 TAIP 发布流程的物理隔离部署、systemd 裸机。
规格
- 版本
- v1.5.16 — 正式可用
- 协议
- OCI Distribution 规范 · 内置 /v2/token 令牌服务
- 形态
- Kubernetes · 物理隔离部署 · systemd 裸机
- 治理
- 运行时可改策略 · 配额 · CVE 准入 · 机器人账号 · 不可变标签 · 审计日志
- 存储
- 本地磁盘 · S3 · GCS
- 语言
- English · 简体中文
用实证说话
一段代码看明白。
没有私有 SDK,无需改写—— ImageSphere 在现有工具所在之处完成对接。
$ docker push registry.intra.example/team-a/app:v1
已推送 — 在 team-a 配额内(412 GiB / 500 GiB)
$ helm push chart.tgz oci://registry.intra.example/team-a
$ cosign verify registry.intra.example/team-a/app:v1
# 策略、配额与写入组,都可在管理界面里实时修改▌ 纯 OCI Distribution 规范——docker、helm、oras 无需修改即可使用。内置令牌服务,无需额外部署任何组件。
核心能力
ImageSphere 为您带来什么
OCI 原生,没有私有协议
标准 OCI Distribution 规范——Docker、Helm、ORAS 及任何兼容客户端无需修改即可使用。内置 /v2/token 端点,无需单独部署令牌服务。Helm Chart 被当作 Chart 对待——values、README 与安装提示直接在界面中渲染,而非作为不透明的二进制块存放。
身份来自您的 IdP
OIDC SSO 与后通道登出。管理员身份跟随 IdP 组——提升管理员只是在 IdP 里点一下,而不是重新部署。机器人账号为 CI/CD 提供命名空间级凭据,不依附于任何个人。
访问控制运行时可改
在管理界面中直接编辑命名空间策略、用户组、写入权限、配额与不可变标签规则。变更持久化在元数据存储中,重启不丢——配置文件作默认值,运行时覆盖优先。一条只追加的审计日志、Prometheus 指标,以及一份内置的中英双语用户指南,补全 day-2 运维。
物理隔离部署是核心能力
通过 TAIP 物理隔离发布流程交付:Chart 与镜像预先打包,OIDC 应用注册自动完成。同一个二进制也可在裸机上以 systemd、htpasswd 与 TLS 运行。
工作原理
从推送到拉取,全程受治理。
- 步骤 01
推送任何 OCI 制品
容器镜像、Helm Chart、ML 模型、OPA 策略包。标准 /v2/ 端点;内置令牌服务支持 `docker login`。
- 步骤 02
身份决定权限
OIDC SSO、基于组的管理员、运行时可改的命名空间策略。在 IdP 中办理离职,仓库随之收回权限。
- 步骤 03
拉取、签名、扫描
Cosign / Notation 校验、带按命名空间准入策略的 CVE 扫描、命名空间存储配额——在 Kubernetes、物理隔离环境与裸机上,是同一套机制。
适用团队
为这些团队而建
- 构建自助式 OCI 仓库的内部平台团队
- 物理隔离、合规与边缘部署场景
- 想要 Cosign 与 CVE 扫描、但不想为此再养一套控制平面的人
搭配使用
其他开发者产品
ConsoleX
正式可用登录即获得受治理的 Kubernetes 工作空间。无需 kubectl,无需提工单。
用户首次 SSO 登录时,自动获得一个隔离的命名空间:配额、默认拒绝的网络策略、存储与 Web 终端——自动开通,持续收敛。
了解更多DevSpace
正式可用几秒钟内在 GPU 上拉起 Jupyter 或 VS Code。闲置环境自动关停。
一键创建 Jupyter、Marimo、Streamlit、Gradio、VS Code 环境——GPU 就绪、按用户经独立认证代理隔离,支持 SSH,默认闲置自动关停。
了解更多TrainX
正式可用管理员写模板,用户填表单,Kubernetes 跑作业。
自描述的训练模板直接渲染成 UI 表单——提交前实时校验配额,运行中流式日志、解析进度条,一键 TensorBoard。
了解更多