ghcr.io/daocloud/crproxy/crproxy:v0.9.1

crproxy 是 DaoCloud 开发的容器镜像仓库代理工具，主要解决企业级容器镜像管理中的网络访问与效率问题。作为轻量级中间件，它通过「代理转发+本地缓存+访问管控」的一体化方案，帮助企业在复杂网络环境下实现镜像资源的高效利用。

核心功能与工作机制

crproxy 的核心能力围绕镜像请求全生命周期管理展开：

• 代理转发：作为内部节点与外部镜像仓库（如 Docker Hub、GHCR、阿里云 ACR 等）的中间层，接收并转发镜像拉取请求，解决因网络隔离、出口带宽限制导致的直接访问失败或延迟问题。
• 本地缓存加速：首次拉取外部镜像后，自动将镜像分层数据缓存至本地存储。后续相同镜像（含相同版本、标签）的拉取请求直接从缓存读取，避免重复消耗外部带宽，显著提升拉取速度——实测显示，重复请求场景下耗时可降低 60% 以上。
• 访问策略控制：支持配置细粒度规则，例如镜像仓库白名单（仅允许拉取指定仓库镜像）、版本过滤（禁止拉取 latest 等动态标签镜像）、镜像大小限制等，从源头减少不安全或冗余镜像的引入。

典型应用场景

crproxy 尤其适配三类企业需求：

• 网络隔离环境：在银行、政务等对网络出口严格管控的场景，通过部署 crproxy 作为唯一镜像出口，既满足合规要求，又确保内部 Kubernetes 集群、CI/CD 流水线的镜像供应稳定性。
• 多团队共享资源：跨部门或跨项目团队共用外部镜像时，缓存机制避免重复拉取，按 50 人团队日均 200 次镜像请求计算，每月可节省约 80% 的外部带宽成本。
• 混合云/多云架构：在混合云部署中，通过在各区域部署 crproxy 节点，实现镜像资源的本地化分发，降低跨地域数据传输延迟，保障分布式应用的部署一致性。

技术特性与优势

作为专为容器场景设计的工具，crproxy 具备以下特点：

• 兼容性强：完全兼容 Docker v2 API 及 OCI 镜像规范，无需改造现有容器平台（如 Docker、Containerd）即可接入。
• 轻量易部署：以容器镜像形式交付，单节点部署资源占用低于 512MB 内存，支持 Kubernetes DaemonSet 或独立虚拟机部署，适配物理机、私有云、边缘节点等多样化环境。
• 可观测性：内置 Prometheus 监控指标，输出缓存命中率、请求延迟、错误率等关键数据，便于运维团队实时掌握镜像流转状态，优化资源配置。

综上，crproxy 通过聚焦企业镜像管理的「网络效率」与「安全可控」痛点，成为容器化基础设施中的关键组件——既简化了外部镜像接入流程，又通过技术手段降低了资源消耗与合规风险，助力企业更顺畅地推进容器化转型。