Synchroniser un registre en amont avec un registre privé Amazon ECR - Amazon ECR
Modèles de création de référentielsConsidérations relatives à l'utilisation des règles du cache d'extraction

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Synchroniser un registre en amont avec un registre privé Amazon ECR

À l'aide des règles de cache d'extraction, vous pouvez synchroniser le contenu d'un registre en amont avec votre registre privé Amazon ECR.

Amazon ECR prend actuellement en charge la création de règles de mise en cache par extraction pour les registres en amont suivants.

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry et GitLab Container Registry (authentification requise)

  • Amazon ECR Public, le registre d'images de conteneur Kubernetes et Quay (ne nécessitent pas d'authentification)

Pour GitLab Container Registry, Amazon ECR prend en charge le pull through cache uniquement avec l' GitLab software-as-a-service offre GitLab .com.

Pour les registres en amont qui nécessitent une authentification, vous devez conserver vos informations d'identification de manière AWS Secrets Manager secrète. La console Amazon ECR vous permet de créer facilement le secret Secrets Manager pour chacun des registres en amont authentifiés. Pour plus d'informations sur la création d'un secret Secrets Manager à l'aide de la console Secrets Manager, consultezStockage AWS Secrets Manager secret des informations d'identification de votre référentiel en amont.

Après avoir créé une règle de mise en cache par extraction pour le registre en amont, il suffit d'extraire une image de ce registre en amont en utilisant l'URI de votre registre privé Amazon ECR. Amazon ECR crée ensuite un référentiel et met cette image en cache dans votre registre privé. Lors de vos requêtes d'extraction ultérieures de l'image mise en cache avec une balise donnée, Amazon ECR vérifie dans le registre en amont s'il existe une nouvelle version de l'image avec cette balise spécifique et tente de mettre à jour l'image dans votre registre privé au moins une fois toutes les 24 heures.

Modèles de création de référentiels

Amazon ECR a ajouté la prise en charge des modèles de création de référentiels, actuellement en version préliminaire, qui vous donne le contrôle nécessaire pour spécifier les configurations initiales pour les nouveaux référentiels créés par Amazon ECR en votre nom à l'aide de règles de mise en cache par extraction. Chaque modèle contient un préfixe d'espace de noms de référentiel qui est utilisé pour faire correspondre les nouveaux référentiels à un modèle spécifique. Les modèles peuvent spécifier la configuration de tous les paramètres du référentiel, y compris les politiques d'accès basées sur les ressources, l'immuabilité des balises, le chiffrement et les politiques de cycle de vie. Les paramètres d'un modèle de création de référentiel ne sont appliqués que lors de la création du référentiel et n'ont aucun effet sur les référentiels existants ou les référentiels créés à l'aide d'une autre méthode. Pour plus d’informations, consultez Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache.

Considérations relatives à l'utilisation des règles du cache d'extraction

Tenez compte des points suivants lorsque vous utilisez les règles de cache d'extraction d'Amazon ECR.

  • La création de règles de mise en cache par extraction n'est pas prise en charge dans les régions suivantes.

    • Chine (Beijing) (cn-north-1)

    • Chine (Ningxia) (cn-northwest-1)

    • AWS GovCloud (USA Est) (us-gov-east-1)

    • AWS GovCloud (US-Ouest) (us-gov-west-1)

  • AWS Lambda ne prend pas en charge l'extraction d'images de conteneurs depuis Amazon ECR à l'aide d'une règle de cache d'extraction.

  • Lors de l'extraction d'images à l'aide de la mise en cache par extraction, les points de terminaison de service FIPS d'Amazon ECR ne sont pas pris en charge la première fois qu'une image est extraite. L'utilisation des points de terminaison de service FIPS d'Amazon ECR fonctionne cependant pour les extractions suivantes.

  • Lorsqu'une image mise en cache est extraite via l'URI du registre privé Amazon ECR, les extractions d'image sont initiées par des AWS adresses IP. Cela garantit que l'extraction de l'image n'est pas comptabilisée dans les quotas de taux d'extraction implémenté par le registre en amont.

  • Lorsqu'une image mise en cache est extraite via l'URI du registre privé Amazon ECR, Amazon ECR vérifie le référentiel en amont au moins une fois toutes les 24 heures afin de s'assurer que l'image mise en cache est la dernière version. S'il existe une image plus récente dans le registre en amont, Amazon ECR tente de mettre à jour l'image mise en cache. Ce délai est basé sur la dernière extraction de l'image mise en cache.

  • Si Amazon ECR ne peut pas mettre à jour l'image depuis le registre en amont pour une raison quelconque et que l'image est extraite, la dernière image mise en cache sera quand même extraite.

  • Lors de la création du secret Secrets Manager qui contient les informations d'identification du registre en amont, le nom du secret doit utiliser le préfixe ecr-pullthroughcache/. Le secret doit également se trouver dans le même compte et dans la même région que ceux dans lesquels est créée la règle de mise en cache par extraction.

  • Lorsqu'une image multi-architecture est extraite à l'aide d'une règle mise en cache par extraction, la liste de manifestes et chaque image référencée dans la liste de manifestes sont extraites vers le référentiel Amazon ECR. Si vous ne souhaitez extraire qu'une architecture spécifique, vous pouvez extraire l'image en utilisant le résumé d'image ou l'identification associée à l'architecture plutôt que l'identification associée à la liste de manifestes.

  • Amazon ECR utilise un rôle IAM lié à un service, qui fournit les autorisations nécessaires à Amazon ECR pour créer le référentiel, récupérer la valeur du secret Secrets Manager pour l'authentification et transmettre l'image mise en cache en votre nom. Le rôle IAM lié à un service est créé automatiquement lorsqu'une règle de mise en cache par extraction est créée. Pour plus d’informations, consultez Rôle lié à un service Amazon ECR pour la mise en cache par extraction.

  • Par défaut, l'utilisateur, le principal IAM qui extrait l'image mise en cache a les autorisations qui lui sont accordées par sa politique IAM. Vous pouvez utiliser la politique d'autorisations du registre privé Amazon ECR pour étendre les autorisations d'une entité IAM. Pour plus d’informations, consultez Utilisation des autorisations de registre.

  • Les référentiels Amazon ECR créés à l'aide du flux de travail de mise en cache par extraction sont traités comme tout autre référentiel Amazon ECR. Toutes les fonctions du référentiel, telles que la réplication et l'analyse d'images, sont prises en charge.

  • Lorsqu'Amazon ECR crée un nouveau référentiel en votre nom à l'aide d'une action de mise en cache par extraction, les paramètres par défaut suivants sont appliqués au référentiel, sauf s'il existe un modèle de création de référentiel correspondant. Vous pouvez utiliser un modèle de création de référentiel pour définir les paramètres appliqués aux référentiels créés par Amazon ECR en votre nom. Pour plus d’informations, consultez Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache.

    • Immuabilité des balises : désactivée, les balises sont mutables et peuvent être remplacées.

    • Chiffrement : on utilise le chiffrement par défaut AES256.

    • Autorisations du référentiel : omises, aucune politique d'autorisation de référentiel n'est appliquée.

    • Politique de cycle de vie : omise, aucune politique de cycle de vie n'est appliquée.

    • Balises de ressource : omises, aucune balise de ressource n'est appliquée.

  • L'activation de l'immuabilité des balises d'image pour des référentiels à l'aide d'une règle de mise en cache par extraction empêchera Amazon ECR de mettre à jour les images à l'aide de la même balise.

  • Lorsqu'une image est extraite à l'aide de la règle du cache d'extraction pour la première fois, un itinéraire vers Internet peut être nécessaire. Dans certaines circonstances, un itinéraire vers Internet est nécessaire, il est donc préférable de configurer un itinéraire pour éviter toute défaillance. Ainsi, si vous avez configuré Amazon ECR pour utiliser un point de terminaison AWS PrivateLink VPC d'interface, vous devez vous assurer que le premier pull dispose d'un itinéraire vers Internet. Pour ce faire, vous pouvez créer un sous-réseau public dans le même VPC, avec une passerelle Internet, puis acheminer tout le trafic sortant vers Internet depuis leur sous-réseau privé vers le sous-réseau public. Les extractions d'image suivantes à l'aide de la règle de cache d'extraction ne l'exigent pas. Pour de plus amples informations, consultez Exemples d'options de routage dans le Guide de l'utilisateur Amazon Virtual Private Cloud.