Eine Pull-Through-Cache-Regel in Amazon erstellen ECR

Für jede Upstream-Registry, die Bilder enthält, die Sie in Ihrer ECR privaten Amazon-Registry zwischenspeichern möchten, müssen Sie eine Pull-Through-Cache-Regel erstellen.

Für Upstream-Registrierungen, die eine Authentifizierung erfordern, müssen Sie die Anmeldeinformationen in einem Secrets Manager Manager-Geheimnis speichern. Sie können ein vorhandenes Geheimnis verwenden oder ein neues Geheimnis erstellen. Sie können das Secrets Manager Manager-Geheimnis entweder in der ECR Amazon-Konsole oder in der Secrets Manager Manager-Konsole erstellen. Informationen zum Erstellen eines Secrets Manager Manager-Geheimnisses mit der Secrets Manager Manager-Konsole statt mit der ECR Amazon-Konsole finden Sie unterSpeichern Sie Ihre Upstream-Repository-Anmeldeinformationen AWS Secrets Manager geheim.

Voraussetzungen

• Vergewissern Sie sich, dass Sie über die erforderlichen IAM Berechtigungen zum Erstellen von Pull-Through-Cache-Regeln verfügen. Weitere Informationen finden Sie unter IAMBerechtigungen, die erforderlich sind, um eine Upstream-Registrierung mit einer ECR privaten Amazon-Registrierung zu synchronisieren.

• Für Upstream-Registrierungen, die eine Authentifizierung erfordern: Wenn Sie ein vorhandenes Secret verwenden möchten, stellen Sie sicher, dass das Secrets Manager Manager-Geheimnis die folgenden Anforderungen erfüllt:

  • Der Name des Geheimnisses beginnt mitecr-pullthroughcache/. Zeigt AWS Management Console nur Secrets Manager Manager-Geheimnisse mit dem ecr-pullthroughcache/ Präfix an.

  • Das Konto und die Region, in denen sich der geheime Schlüssel befindet, müssen mit dem Konto und der Region übereinstimmen, in denen sich die Pull-Through-Cache-Regel befindet.

So erstellen Sie eine Pull-Through-Cache-Regel (AWS Management Console)

Die folgenden Schritte zeigen, wie Sie mithilfe der ECR Amazon-Konsole eine Pull-Through-Cache-Regel und ein Secrets Manager-Geheimnis erstellen. Informationen zum Erstellen eines Secrets mit der Secrets Manager Manager-Konsole finden Sie unterSpeichern Sie Ihre Upstream-Repository-Anmeldeinformationen AWS Secrets Manager geheim.

Für Amazon ECR Public, Kubernetes Container Registry oder Quay

1. Öffnen Sie die ECR Amazon-Konsole unter https://console.aws.amazon.com/ecr/.

2. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

3. Wählen Sie im Navigationsbereich die Option Private Registrierung, Pull-Through-Cache.

4. Wählen Sie auf der Seite Pull-Through-Cache-Konfiguration die Option Regel hinzufügen aus.

5. Wählen Sie auf der Seite Schritt 1: Quelle angeben für Registry entweder Amazon ECR Public, Kubernetes oder Quay aus der Liste der Upstream-Registries aus und klicken Sie dann auf Weiter.

6. Geben Sie auf Schritt 2: Zielseite angeben für das ECRAmazon-Repository-Präfix das Repository-Namespace-Präfix an, das beim Zwischenspeichern von Bildern verwendet werden soll, die aus der öffentlichen Quellregistrierung abgerufen wurden, und wählen Sie dann Weiter. Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

7. Überprüfen Sie auf der Seite Schritt 3: Überprüfen und erstellen die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann Erstellen aus.

8. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

Für Docker Hub

1. Öffnen Sie die ECR Amazon-Konsole unter https://console.aws.amazon.com/ecr/.

2. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

3. Wählen Sie im Navigationsbereich die Option Private Registrierung, Pull-Through-Cache.

4. Wählen Sie auf der Seite Pull-Through-Cache-Konfiguration die Option Regel hinzufügen aus.

5. Wählen Sie auf der Seite Schritt 1: Geben Sie eine Quelle an für Registrierung die Option Docker Hub und dann Weiter aus.

6. Auf der Seite Schritt 2: Authentifizierung konfigurieren müssen Sie für Upstream-Anmeldeinformationen Ihre Authentifizierungsdaten für Docker Hub in einem AWS Secrets Manager -Secret speichern. Sie können ein vorhandenes Geheimnis angeben oder die ECR Amazon-Konsole verwenden, um ein neues Geheimnis zu erstellen.

   1. Um ein vorhandenes Geheimnis zu verwenden, wählen Sie Vorhandenes AWS Geheimnis verwenden. Wählen Sie unter Geheimer Name in der Auswahlliste Ihr vorhandenes Secret aus und wählen Sie dann Weiter aus.

      Anmerkung

      Zeigt AWS Management Console nur Secrets Manager Manager-Geheimnisse an, deren Namen das ecr-pullthroughcache/ Präfix verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.

   2. Um ein neues Secret zu erstellen, wählen Sie Ein AWS -Secret erstellen aus, gehen Sie wie folgt vor und klicken Sie dann auf Weiter.

      1. Geben Sie unter Geheimer Name einen aussagekräftigen Namen für das Secret an. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten.

      2. Geben Sie als Docker-Hub-Benutzername Ihren Docker-Hub-Benutzernamen an.

      3. Geben Sie für das Docker-Hub-Zugriffstoken Ihr Docker-Hub-Zugriffstoken an. Weitere Informationen zum Erstellen eines Docker-Hub-Zugriffstokens finden Sie unter Zugriffstoken erstellen und verwalten in der Docker-Dokumentation.

7. Geben Sie auf der Seite Schritt 3: Geben Sie eine Zielseite für das ECRAmazon-Repository-Präfix den Repository-Namespace an, der beim Zwischenspeichern von Bildern verwendet werden soll, die aus der öffentlichen Quellregistrierung abgerufen wurden, und wählen Sie dann Weiter.

   Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

8. Überprüfen Sie auf der Seite Schritt 4: Überprüfen und erstellen die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann Erstellen aus.

9. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

Für Container Registry GitHub

1. Öffnen Sie die ECR Amazon-Konsole unter https://console.aws.amazon.com/ecr/.

2. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

3. Wählen Sie im Navigationsbereich die Option Private Registrierung, Pull-Through-Cache.

4. Wählen Sie auf der Seite Pull-Through-Cache-Konfiguration die Option Regel hinzufügen aus.

5. Wählen Sie auf der Seite Schritt 1: Quelle angeben für Registry GitHub Container Registry, Next aus.

6. Auf der Seite „Schritt 2: Authentifizierung konfigurieren“ müssen Sie für Upstream-Anmeldeinformationen Ihre Authentifizierungsdaten für GitHub Container Registry AWS Secrets Manager geheim speichern. Sie können ein vorhandenes Geheimnis angeben oder die ECR Amazon-Konsole verwenden, um ein neues Geheimnis zu erstellen.

   1. Um ein vorhandenes Geheimnis zu verwenden, wählen Sie Vorhandenes AWS Geheimnis verwenden. Wählen Sie unter Geheimer Name in der Auswahlliste Ihr vorhandenes Secret aus und wählen Sie dann Weiter aus.

      Anmerkung

      Zeigt AWS Management Console nur Secrets Manager Manager-Geheimnisse an, deren Namen das ecr-pullthroughcache/ Präfix verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.

   2. Um ein neues Secret zu erstellen, wählen Sie Ein AWS -Secret erstellen aus, gehen Sie wie folgt vor und klicken Sie dann auf Weiter.

      1. Geben Sie unter Geheimer Name einen aussagekräftigen Namen für das Secret an. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten.

      2. Geben Sie als GitHub Container Registry-Benutzername Ihren GitHub Container Registry-Benutzernamen an.

      3. Geben Sie für das Zugriffstoken für die GitHub Container Registry Ihr Zugriffstoken für die GitHub Container Registry an. Weitere Informationen zum Erstellen eines GitHub Zugriffstokens finden Sie in der GitHub Dokumentation unter Verwaltung Ihrer persönlichen Zugriffstoken.

7. Geben Sie auf der Seite Schritt 3: Geben Sie eine Zielseite für das ECRAmazon-Repository-Präfix den Repository-Namespace an, der beim Zwischenspeichern von Bildern verwendet werden soll, die aus der öffentlichen Quellregistrierung abgerufen wurden, und wählen Sie dann Weiter.

   Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

8. Überprüfen Sie auf der Seite Schritt 4: Überprüfen und erstellen die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann Erstellen aus.

9. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

Für Microsoft Azure Container Registry

1. Öffnen Sie die ECR Amazon-Konsole unter https://console.aws.amazon.com/ecr/.

2. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

3. Wählen Sie im Navigationsbereich die Option Private Registrierung, Pull-Through-Cache.

4. Wählen Sie auf der Seite Pull-Through-Cache-Konfiguration die Option Regel hinzufügen aus.

5. Führen Sie auf der Seite Schritt 1: Geben Sie eine Quelle an die folgenden Schritte aus.

   1. Wählen Sie für Registry Microsoft Azure Container Registry

   2. Geben Sie für Quellregistrierung URL den Namen Ihrer Microsoft Azure-Container-Registry an und wählen Sie dann Weiter.

      Wichtig

      Sie müssen nur das Präfix angeben, da das Suffix .azurecr.io in Ihrem Namen ausgefüllt wird.

6. Auf der Seite Schritt 2: Authentifizierung konfigurieren müssen Sie für Upstream-Anmeldeinformationen Ihre Authentifizierungsdaten für die Microsoft Azure Container Registry in einem AWS Secrets Manager -Secret speichern. Sie können ein vorhandenes Geheimnis angeben oder die ECR Amazon-Konsole verwenden, um ein neues Geheimnis zu erstellen.

   1. Um ein vorhandenes Geheimnis zu verwenden, wählen Sie Vorhandenes AWS Geheimnis verwenden. Wählen Sie unter Geheimer Name in der Auswahlliste Ihr vorhandenes Secret aus und wählen Sie dann Weiter aus.

      Anmerkung

      Zeigt AWS Management Console nur Secrets Manager Manager-Geheimnisse an, deren Namen das ecr-pullthroughcache/ Präfix verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.

   2. Um ein neues Secret zu erstellen, wählen Sie Ein AWS -Secret erstellen aus, gehen Sie wie folgt vor und klicken Sie dann auf Weiter.

      1. Geben Sie unter Geheimer Name einen aussagekräftigen Namen für das Secret an. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten.

      2. Geben Sie für den Microsoft-Azure-Container-Registry-Benutzernamen Ihren Benutzernamen für die Microsoft Azure Container Registry an.

      3. Geben Sie für den Microsoft-Azure-Container-Registry-Zugriffstoken Ihren Zugriffstoken für die Microsoft Azure Container Registry an. Weitere Informationen zum Erstellen eines Zugriffstokens für die Microsoft Azure Container Registry finden unter Token erstellen – Portal in der Microsoft Azure-Dokumentation.

7. Geben Sie auf der Seite Schritt 3: Geben Sie eine Zielseite für das ECRAmazon-Repository-Präfix den Repository-Namespace an, der beim Zwischenspeichern von Bildern verwendet werden soll, die aus der öffentlichen Quellregistrierung abgerufen wurden, und wählen Sie dann Weiter.

   Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

8. Überprüfen Sie auf der Seite Schritt 4: Überprüfen und erstellen die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann Erstellen aus.

9. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

Für Container Registry GitLab

1. Öffnen Sie die ECR Amazon-Konsole unter https://console.aws.amazon.com/ecr/.

2. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

3. Wählen Sie im Navigationsbereich die Option Private Registrierung, Pull-Through-Cache.

4. Wählen Sie auf der Seite Pull-Through-Cache-Konfiguration die Option Regel hinzufügen aus.

5. Wählen Sie auf der Seite Schritt 1: Quelle angeben für Registry GitLab Container Registry, Next aus.

6. Auf der Seite „Schritt 2: Authentifizierung konfigurieren“ müssen Sie für Upstream-Anmeldeinformationen Ihre Authentifizierungsdaten für GitLab Container Registry AWS Secrets Manager geheim speichern. Sie können ein vorhandenes Geheimnis angeben oder die ECR Amazon-Konsole verwenden, um ein neues Geheimnis zu erstellen.

   1. Um ein vorhandenes Geheimnis zu verwenden, wählen Sie Vorhandenes AWS Geheimnis verwenden. Wählen Sie unter Geheimer Name in der Auswahlliste Ihr vorhandenes Secret aus und wählen Sie dann Weiter aus. Weitere Informationen zum Erstellen eines Secrets-Manager-Secrets mit der Secrets-Manager-Konsole finden Sie unter Speichern Sie Ihre Upstream-Repository-Anmeldeinformationen AWS Secrets Manager geheim.

      Anmerkung

      Zeigt AWS Management Console nur Secrets Manager Manager-Geheimnisse an, deren Namen das ecr-pullthroughcache/ Präfix verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.

   2. Um ein neues Secret zu erstellen, wählen Sie Ein AWS -Secret erstellen aus, gehen Sie wie folgt vor und klicken Sie dann auf Weiter.

      1. Geben Sie unter Geheimer Name einen aussagekräftigen Namen für das Secret an. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten.

      2. Geben Sie als GitLab Container Registry-Benutzername Ihren GitLab Container Registry-Benutzernamen an.

      3. Geben Sie für das Zugriffstoken für die GitLab Container Registry Ihr Zugriffstoken für die GitLab Container Registry an. Weitere Informationen zur Erstellung eines Zugriffstokens für die GitLab Container Registry finden Sie in der GitLab Dokumentation unter Persönliche Zugriffstoken, Gruppenzugriffstoken oder Projektzugriffstoken.

7. Geben Sie auf der Seite Schritt 3: Geben Sie eine Zielseite für das ECRAmazon-Repository-Präfix den Repository-Namespace an, der beim Zwischenspeichern von Bildern verwendet werden soll, die aus der öffentlichen Quellregistrierung abgerufen wurden, und wählen Sie dann Weiter.

   Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

8. Überprüfen Sie auf der Seite Schritt 4: Überprüfen und erstellen die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann Erstellen aus.

9. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

So erstellen Sie eine Pull-Through-Cache-Regel (AWS CLI)

Verwenden Sie den AWS CLI Befehl create-pull-through-cache-rule, um eine Pull-Through-Cache-Regel für eine ECR private Amazon-Registry zu erstellen. Für Upstream-Registrierungen, für die eine Authentifizierung erforderlich ist, müssen Sie die Anmeldeinformationen in einem Secrets-Manager-Secret speichern. Informationen zum Erstellen eines Secrets mit der Secrets Manager Manager-Konsole finden Sie unterSpeichern Sie Ihre Upstream-Repository-Anmeldeinformationen AWS Secrets Manager geheim.

Die folgenden Beispiele werden für jede unterstützte Upstream-Registrierung bereitgestellt.

Für Amazon ECR Public

Im folgenden Beispiel wird eine Pull-Through-Cache-Regel für die Amazon ECR Public Registry erstellt. Es gibt ein Repository-Präfix von ecr-public, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von ecr-public/upstream-repository-name hat.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix ecr-public \
     --upstream-registry-url public.ecr.aws \
     --region us-east-2

Für die Kubernetes Container Registry

Im folgenden Beispiel wird eine Pull-Through-Cache-Regel für das öffentliche Kubernetes-Registry erstellt. Es gibt ein Repository-Präfix von kubernetes, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von kubernetes/upstream-repository-name hat.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix kubernetes \
     --upstream-registry-url registry.k8s.io \
     --region us-east-2

Für Quay

Im folgenden Beispiel wird eine Pull-Through-Cache-Regel für die öffentliche Registrierung von Quay erstellt. Es gibt ein Repository-Präfix von quay, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von quay/upstream-repository-name hat.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix quay \
     --upstream-registry-url quay.io \
     --region us-east-2

Für Docker Hub

Im folgenden Beispiel wird eine Pull-Through-Cache-Regel für die Docker-Hub-Registrierung von Quay erstellt. Es gibt ein Repository-Präfix von docker-hub, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von docker-hub/upstream-repository-name hat. Sie müssen den vollständigen Amazon-Ressourcennamen (ARN) des Geheimnisses angeben, das Ihre Docker Hub-Anmeldeinformationen enthält.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix docker-hub \
     --upstream-registry-url registry-1.docker.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

Für GitHub Container Registry

Im folgenden Beispiel wird eine Pull-Through-Cacheregel für die GitHub Container Registry erstellt. Es gibt ein Repository-Präfix von docker-hub, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von github/upstream-repository-name hat. Sie müssen den vollständigen Amazon-Ressourcennamen (ARN) des Geheimnisses angeben, das Ihre Anmeldeinformationen für die GitHub Container Registry enthält.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix github \
     --upstream-registry-url ghcr.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

Für Microsoft Azure Container Registry

Im folgenden Beispiel wird eine Pull-Through-Cacheregel für die Microsoft Azure Container Registry erstellt. Es gibt ein Repository-Präfix von azure, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von azure/upstream-repository-name hat. Sie müssen den vollständigen Amazon-Ressourcennamen (ARN) des Geheimnisses angeben, das Ihre Anmeldeinformationen für die Microsoft Azure Container Registry enthält.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix azure \
     --upstream-registry-url myregistry.azurecr.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

Für GitLab Container Registry

Im folgenden Beispiel wird eine Pull-Through-Cacheregel für die GitLab Container Registry erstellt. Es gibt ein Repository-Präfix von gitlab, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von gitlab/upstream-repository-name hat. Sie müssen den vollständigen Amazon-Ressourcennamen (ARN) des Geheimnisses angeben, das Ihre Anmeldeinformationen für die GitLab Container Registry enthält.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix gitlab \
     --upstream-registry-url registry.gitlab.com \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

Nächste Schritte

Nachdem Sie Ihre Pull-Through-Cache-Regeln erstellt haben, folgen die nächsten Schritte:

• Erstellen Sie eine Repository-Erstellungsvorlage. Mit einer Vorlage für die Erstellung eines Repositorys können Sie festlegen, welche Einstellungen für neue Repositorys verwendet werden sollen, die Amazon in ECR Ihrem Namen während einer Pull-Through-Cache-Aktion erstellt hat. Weitere Informationen finden Sie unter Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache- oder Replikationsaktion erstellt wurden.

• Validieren Sie Ihre Pull-Through-Cache-Regeln. Bei der Validierung einer Pull-Through-Cache-Regel ECR stellt Amazon eine Netzwerkverbindung mit der Upstream-Registrierung her und überprüft, ob es auf das Secrets Manager-Geheimnis zugreifen kann, das die Anmeldeinformationen für die Upstream-Registrierung enthält, und ob die Authentifizierung erfolgreich war. Weitere Informationen finden Sie unter Überprüfung der Pull-Through-Cache-Regeln in Amazon ECR.

• Verwenden Sie zunächst Ihre Pull-Through-Cache-Regeln. Weitere Informationen finden Sie unter Ein Bild mit einer Pull-Through-Cache-Regel in Amazon abrufen ECR.