Sincronizar un registro previo con un registro ECR privado de Amazon - Amazon ECR
Plantillas de creación de repositoriosConsideraciones sobre el uso de las reglas de extracción de caché

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sincronizar un registro previo con un registro ECR privado de Amazon

Mediante las reglas de extracción de caché, puedes sincronizar el contenido de un registro anterior con tu registro ECR privado de Amazon.

ECRActualmente, Amazon admite la creación de reglas de extracción de caché para los siguientes registros ascendentes.

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry y GitLab Container Registry (requiere autenticación)

  • Amazon ECR Public, el registro de imágenes de contenedores de Kubernetes y Quay (no requiere autenticación)

En el GitLab caso de Container Registry, Amazon solo ECR admite la extracción de caché con la GitLab software-as-a-service oferta, GitLab .com.

En el caso de los registros originales que requieren autenticación, debes guardar tus credenciales en secreto. AWS Secrets Manager La ECR consola de Amazon te permite crear fácilmente el secreto de Secrets Manager para cada uno de los registros ascendentes autenticados. Para obtener más información sobre la creación de un secreto de Secrets Manager mediante la consola de Secrets Manager, consulteAlmacenar en secreto las credenciales del repositorio principal AWS Secrets Manager.

Una vez que hayas creado una regla de extracción de caché para el registro principal, solo tienes que extraer una imagen de ese registro principal con tu registro ECR privado de Amazon. URI ECRA continuación, Amazon crea un repositorio y guarda en caché la imagen en tu registro privado. En las siguientes solicitudes de extracción de la imagen en caché con una etiqueta determinada, Amazon ECR comprueba el registro original para ver si hay una nueva versión de la imagen con esa etiqueta específica e intenta actualizar la imagen en tu registro privado al menos una vez cada 24 horas.

Plantillas de creación de repositorios

Amazon ECR ha añadido soporte para las plantillas de creación de repositorios, actualmente en versión preliminar, lo que te da el control para especificar las configuraciones iniciales de los nuevos repositorios creados por Amazon ECR en tu nombre mediante reglas de extracción de caché. Cada plantilla contiene un prefijo de espacio de nombres de repositorio que se utiliza para hacer coincidir los nuevos repositorios con una plantilla específica. Las plantillas pueden especificar la configuración de todos los ajustes del repositorio, incluidas las políticas de acceso basadas en los recursos, la inmutabilidad de las etiquetas, el cifrado y las políticas de ciclo de vida. La configuración de una plantilla de creación de repositorios solo se aplica durante la creación del repositorio y no tiene ningún efecto en los repositorios existentes ni en los repositorios creados mediante cualquier otro método. Para obtener más información, consulte Plantillas para controlar los repositorios creados durante una acción de extracción, caché o replicación.

Consideraciones sobre el uso de las reglas de extracción de caché

Ten en cuenta lo siguiente cuando utilices las reglas de caché de ECR extracción de Amazon.

  • La creación de reglas de caché de extracción no se admite en las siguientes regiones.

    • China (Pekín) (cn-north-1)

    • China (Ningxia) (cn-northwest-1)

    • AWS GovCloud (Este de EE. UU.) (us-gov-east-1)

    • AWS GovCloud (EEUU-Oeste) () us-gov-west-1

  • AWS Lambda no admite la extracción de imágenes de contenedores de Amazon ECR mediante una regla de extracción de caché.

  • Al extraer imágenes mediante la caché de extracción, los puntos finales del ECR FIPS servicio de Amazon no son compatibles la primera vez que se extrae una imagen. Sin embargo, el uso de los puntos finales del ECR FIPS servicio de Amazon funciona en extracciones posteriores.

  • Cuando se extrae una imagen en caché a través del registro ECR privado de AmazonURI, la extracción de imágenes se inicia mediante AWS direcciones IP. Esto garantiza que la extracción de imágenes no se tenga en cuenta en ninguna cuota de tasa de extracción implementada por el registro ascendente.

  • Cuando se extrae una imagen en caché a través del registro ECR privado de AmazonURI, Amazon ECR comprueba el repositorio principal al menos una vez cada 24 horas para comprobar si la imagen en caché es la última versión. Si hay una imagen más reciente en el registro original, Amazon ECR intenta actualizar la imagen en caché. Este temporizador se basa en la última extracción de la imagen almacenada en caché.

  • Si Amazon ECR no puede actualizar la imagen desde el registro original por algún motivo y se extrae la imagen, se seguirá extrayendo la última imagen en caché.

  • Al crear el secreto de Secrets Manager que contiene las credenciales de registro anteriores, el nombre del secreto debe usar el ecr-pullthroughcache/ prefijo. El secreto también debe estar en la misma cuenta y región en las que se creó la regla de caché de extracción.

  • Cuando se extrae una imagen de varias arquitecturas mediante una regla de extracción de caché, la lista de manifiestos y cada imagen a la que se hace referencia en la lista de manifiestos se arrastran al ECR repositorio de Amazon. Si solo desea extraer una arquitectura específica, puede extraer la imagen mediante el resumen de imagen o la etiqueta asociada a la arquitectura en lugar de la etiqueta asociada a la lista de manifiestos.

  • Amazon ECR utiliza un IAM rol vinculado a un servicio, que proporciona los permisos necesarios ECR para que Amazon cree el repositorio, recupere el valor secreto de Secrets Manager para la autenticación e inserte la imagen en caché en tu nombre. El IAM rol vinculado al servicio se crea automáticamente cuando se crea una regla de extracción de caché. Para obtener más información, consulte Función ECR vinculada al servicio de Amazon para extraer memoria caché.

  • De forma predeterminada, la persona IAM principal que extrae la imagen en caché tiene los permisos que se le conceden en virtud de su política. IAM Puedes usar la política de permisos de registro ECR privado de Amazon para ampliar el alcance de los permisos de una IAM entidad. Para obtener más información, consulte Uso de permisos de registro.

  • ECRLos repositorios de Amazon creados mediante el flujo de trabajo de extracción de caché se tratan como cualquier otro ECR repositorio de Amazon. Se admiten todas las características del repositorio, como la replicación y el escaneo de imágenes.

  • Cuando Amazon ECR crea un repositorio nuevo en tu nombre mediante una acción de extracción de caché, se aplican los siguientes ajustes predeterminados al repositorio, a menos que haya una plantilla de creación de repositorios coincidente. Puedes usar una plantilla de creación de repositorios para definir la configuración que se aplica a los repositorios creados por Amazon ECR en tu nombre. Para obtener más información, consulte Plantillas para controlar los repositorios creados durante una acción de extracción, caché o replicación.

    • Inmutabilidad de las etiquetas: si están desactivadas, las etiquetas son mutables y se pueden sobrescribir.

    • Cifrado: se usa el cifrado predeterminado AES256.

    • Permisos de repositorio: omitidos, no se aplica ninguna política de permisos de repositorio.

    • Política de ciclo de vida: si se omite, no se aplica ninguna política de ciclo de vida.

    • Etiquetas de recursos: se omiten, no se aplica ninguna etiqueta de recursos.

  • Activar la inmutabilidad de las etiquetas de imagen en los repositorios mediante una regla de extracción de caché impedirá que Amazon ECR actualice las imágenes que utilizan la misma etiqueta.

  • Cuando se extrae una imagen utilizando la regla de extracción de caché por primera vez, es posible que se requiera una ruta a Internet. Hay ciertas circunstancias en las que se requiere una ruta a Internet, por lo que es mejor configurar una ruta para evitar cualquier fallo. Por lo tanto, si has configurado Amazon ECR para que utilice una interfaz de VPC punto final AWS PrivateLink , debes asegurarte de que la primera atracción tenga una ruta a Internet. Una forma de hacerlo es crear una subred pública en la mismaVPC, con una puerta de enlace a Internet, y luego enrutar todo el tráfico saliente a Internet desde su subred privada a la subred pública. La posterior extracción de imágenes mediante la regla de extracción de memoria caché no requiere esta opción. Para obtener más información, consulte Opciones de enrutamiento de ejemplo en la guía de usuarios de Amazon Virtual Private Cloud.