Sinkronkan registri hulu dengan registri pribadi Amazon ECR - Amazon ECR
Templat pembuatan repositoriPertimbangan untuk menggunakan aturan pull through cache

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sinkronkan registri hulu dengan registri pribadi Amazon ECR

Menggunakan aturan pull through cache, Anda dapat menyinkronkan konten registri upstream dengan registri pribadi Amazon ECR Anda.

Amazon ECR saat ini mendukung pembuatan aturan cache tarik untuk pendaftar hulu berikut.

  • Docker Hub, Microsoft Azure Container Registry, Container Registry, dan GitHub GitLab Container Registry (Memerlukan otentikasi)

  • Amazon ECR Public, registri image container Kubernetes, dan Quay (Tidak memerlukan otentikasi)

Untuk GitLab Container Registry, Amazon ECR mendukung pull through cache hanya dengan GitLab software-as-a-service penawaran, GitLab .com.

Untuk registrasi hulu yang memerlukan otentikasi, Anda harus menyimpan kredensialnya secara rahasia. AWS Secrets Manager Konsol Amazon ECR memudahkan Anda membuat rahasia Secrets Manager untuk setiap registri upstream yang diautentikasi. Untuk informasi selengkapnya tentang membuat rahasia Secrets Manager menggunakan konsol Secrets Manager, lihatMenyimpan kredensi repositori upstream Anda secara rahasia AWS Secrets Manager.

Setelah Anda membuat aturan pull through cache untuk registri upstream, cukup tarik gambar dari registri upstream menggunakan URI registri pribadi Amazon ECR Anda. Amazon ECR kemudian membuat repositori dan menyimpan gambar itu di registri pribadi Anda. Pada permintaan tarik Anda berikutnya dari gambar yang di-cache dengan tag yang diberikan, Amazon ECR memeriksa registri hulu untuk melihat apakah ada versi baru gambar dengan tag spesifik tersebut dan mencoba memperbarui gambar di registri pribadi Anda setidaknya sekali setiap 24 jam.

Templat pembuatan repositori

Amazon ECR telah menambahkan dukungan untuk template pembuatan repositori, saat ini dalam pratinjau, yang memberi Anda kontrol untuk menentukan konfigurasi awal untuk repositori baru yang dibuat oleh Amazon ECR atas nama Anda menggunakan aturan pull through cache. Setiap template berisi awalan namespace repositori yang digunakan untuk mencocokkan repositori baru dengan template tertentu. Template dapat menentukan konfigurasi untuk semua pengaturan repositori termasuk kebijakan akses berbasis sumber daya, kekekalan tag, enkripsi, dan kebijakan siklus hidup. Pengaturan dalam template pembuatan repositori hanya diterapkan selama pembuatan repositori dan tidak berpengaruh pada repositori atau repositori yang ada yang dibuat menggunakan metode lain. Untuk informasi selengkapnya, lihat Template untuk mengontrol repositori yang dibuat selama aksi pull through cache.

Pertimbangan untuk menggunakan aturan pull through cache

Pertimbangkan hal berikut saat menggunakan Amazon ECR tarik melalui aturan cache.

  • Membuat aturan pull through cache tidak didukung di Wilayah berikut.

    • China (Beijing) (cn-north-1)

    • China (Ningxia) (cn-northwest-1)

    • AWS GovCloud (AS-Timur) (us-gov-east-1)

    • AWS GovCloud (AS-Barat) (us-gov-west-1)

  • AWS Lambda tidak mendukung penarikan gambar kontainer dari Amazon ECR menggunakan aturan cache tarik.

  • Saat menarik gambar menggunakan cache tarik, titik akhir layanan Amazon ECR FIPS tidak didukung saat pertama kali gambar ditarik. Menggunakan titik akhir layanan Amazon ECR FIPS berfungsi pada tarikan berikutnya.

  • Saat gambar yang di-cache ditarik melalui URI registri pribadi Amazon ECR, penarikan gambar diprakarsai oleh alamat IP. AWS Ini memastikan bahwa penarikan gambar tidak dihitung terhadap kuota tingkat tarik apa pun yang diterapkan oleh registri hulu.

  • Saat gambar yang di-cache ditarik melalui URI registri pribadi Amazon ECR, Amazon ECR memeriksa repositori upstream setidaknya sekali setiap 24 jam untuk memverifikasi apakah gambar yang di-cache adalah versi terbaru. Jika ada gambar yang lebih baru di registri hulu, Amazon ECR mencoba memperbarui gambar yang di-cache. Timer ini didasarkan pada tarikan terakhir dari gambar yang di-cache.

  • Jika Amazon ECR tidak dapat memperbarui gambar dari registri hulu karena alasan apa pun dan gambar ditarik, gambar cache terakhir akan tetap ditarik.

  • Saat membuat rahasia Secrets Manager yang berisi kredensyal registri hulu, nama rahasia harus menggunakan awalan. ecr-pullthroughcache/ Rahasianya juga harus berada di akun dan Wilayah yang sama tempat aturan pull through cache dibuat.

  • Saat gambar multi-arsitektur ditarik menggunakan aturan cache pull through, daftar manifes dan setiap gambar yang direferensikan dalam daftar manifes ditarik ke repositori Amazon ECR. Jika Anda hanya ingin menarik arsitektur tertentu, Anda dapat menarik gambar menggunakan intisari gambar atau tag yang terkait dengan arsitektur daripada tag yang terkait dengan daftar manifes.

  • Amazon ECR menggunakan peran IAM terkait layanan, yang menyediakan izin yang diperlukan Amazon ECR untuk membuat repositori, mengambil nilai rahasia Secrets Manager untuk otentikasi, dan mendorong gambar yang di-cache atas nama Anda. Peran IAM terkait layanan dibuat secara otomatis saat aturan pull through cache dibuat. Untuk informasi selengkapnya, lihat Peran terkait layanan Amazon ECR untuk menarik cache.

  • Secara default, prinsipal IAM yang menarik gambar yang di-cache memiliki izin yang diberikan kepada mereka melalui kebijakan IAM mereka. Anda dapat menggunakan kebijakan izin registri pribadi Amazon ECR untuk cakupan lebih lanjut izin entitas IAM. Untuk informasi selengkapnya, lihat Menggunakan izin registri.

  • Repositori Amazon ECR yang dibuat menggunakan alur kerja pull through cache diperlakukan seperti repositori ECR Amazon lainnya. Semua fitur repositori, seperti replikasi dan pemindaian gambar didukung.

  • Saat Amazon ECR membuat repositori baru atas nama Anda menggunakan tindakan pull through cache, pengaturan default berikut diterapkan ke repositori kecuali ada template pembuatan repositori yang cocok. Anda dapat menggunakan template pembuatan repositori untuk menentukan pengaturan yang diterapkan ke repositori yang dibuat oleh Amazon ECR atas nama Anda. Untuk informasi selengkapnya, lihat Template untuk mengontrol repositori yang dibuat selama aksi pull through cache.

    • Kekekalan tag - Dinonaktifkan, tag dapat berubah dan dapat ditimpa.

    • Enkripsi — AES256 Enkripsi default digunakan.

    • Izin repositori - Dihilangkan, tidak ada kebijakan izin repositori yang diterapkan.

    • Kebijakan siklus hidup - Dihilangkan, tidak ada kebijakan siklus hidup yang diterapkan.

    • Tag sumber daya - Dihilangkan, tidak ada tag sumber daya yang diterapkan.

  • Mengaktifkan kekekalan tag gambar untuk repositori menggunakan aturan cache tarik melalui akan mencegah Amazon ECR memperbarui gambar menggunakan tag yang sama.

  • Ketika gambar ditarik menggunakan aturan pull through cache untuk pertama kalinya rute ke internet mungkin diperlukan. Ada keadaan tertentu di mana rute ke internet diperlukan sehingga yang terbaik adalah mengatur rute untuk menghindari kegagalan. Jadi, jika Anda telah mengonfigurasi Amazon ECR untuk AWS PrivateLink menggunakan titik akhir VPC antarmuka, maka Anda perlu memastikan tarikan pertama memiliki rute ke internet. Salah satu cara untuk melakukannya adalah dengan membuat subnet publik di VPC yang sama, dengan gateway internet, dan kemudian merutekan semua lalu lintas keluar ke internet dari subnet pribadi mereka ke subnet publik. Penarikan gambar berikutnya menggunakan aturan pull through cache tidak memerlukan ini. Untuk informasi selengkapnya, lihat Contoh opsi perutean di Panduan Pengguna Amazon Virtual Private Cloud.