2.5.5.5.4. 镜像 Pullthrough

如果启用，registry 将尝试从远程 registry 获取请求的 blob，除非 blob 在本地存在。远程候选从存储在 镜像流 状态的 DockerImage 条目（客户端从中拉取）计算。此类条目中的所有唯一远程 registry 引用将依次尝试，直到找到 Blob。

只有存在拉取镜像的镜像流标签时才会进行 pullthrough。例如，如果拉取的镜像为 docker-registry.default.svc:5000/yourproject/yourimage:prod，则 registry 将在项目 yourproject 中查找名为 yourimage:prod 的镜像流标签。如果找到镜像，它将尝试使用该镜像流标签关联的 dockerImageReference 来拉取镜像。

在执行 pullthrough 时，registry 将使用与所引用镜像流标签关联的项目中找到的拉取凭据。此功能还允许您拉取驻留在 registry 上的镜像，它们没有凭证可以访问，只要您有权访问引用该镜像的镜像流标签。

您必须确保 registry 具有适当的证书来信任您针对的任何外部 registry。证书需要放置在 pod 上的 /etc/pki/tls/certs 目录中。您可以使用 配置映射 或 secret 挂载证书。请注意，必须替换整个 /etc/pki/tls/certs 目录。您必须包含新证书，并在您挂载的 secret 或配置映射中替换系统证书。

请注意，默认情况下，镜像流标签使用引用策略类型 Source，这意味着镜像流引用被解析为镜像拉取规格时，使用的规格将指向镜像的来源。对于托管在外部 registry 上的镜像，这将是外部 registry，因此该资源将引用外部 registry 并拉取镜像。例如，registry.redhat.io/openshift3/jenkins-2-rhel7 和 pullthrough 将不适用。为确保引用镜像流的资源使用指向内部 Registry 的拉取规格，镜像流标签应使用引用策略类型 Local。有关参考政策的更多信息，

这个功能默认是开启的。不过，它可以通过配置选项来禁用。

默认情况下，除非禁用 mirrorpullthrough，否则通过这种方式提供的所有远程 Blob 都存储在本地以进行后续的快速访问。此镜像功能的缺点是增加存储的使用。

$ oc get imagestreamtag/${IS}:${TAG} -o jsonpath='{ .image.dockerImageLayers[*].name }' | \
  xargs -n1 -I {} curl -H "Range: bytes=0-1" -u user:${TOKEN} \
  http://${REGISTRY_IP}:${PORT}/v2/default/mysql/blobs/{}