Sincronizzazione di un registro upstream con un registro privato Amazon ECR - Amazon ECR
Modelli per la creazione di repositoryConsiderazioni sull'utilizzo delle regole pull through cache

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sincronizzazione di un registro upstream con un registro privato Amazon ECR

Utilizzando le regole pull through cache, puoi sincronizzare il contenuto di un registro upstream con il tuo registro privato Amazon ECR.

Amazon ECR attualmente supporta la creazione di regole pull through cache per i seguenti registri upstream:

  • Amazon ECR Public, registro delle immagini dei container Kubernetes e Quay (non richiede l'autenticazione)

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry e GitLab Container Registry (richiede l'autenticazione con AWS Secrets Manager segreto)

  • Amazon ECR (richiede l'autenticazione con ruolo AWS IAM)

Per GitLab Container Registry, Amazon ECR supporta la funzionalità pull through cache solo con GitLab l'offerta Software as a Service (SaaS). Per ulteriori informazioni sull'utilizzo GitLab dell'offerta SaaS, consulta GitLab .com.

Per i registri upstream che richiedono l'autenticazione con segreti (come Docker Hub), è necessario archiviare le credenziali in un luogo segreto. AWS Secrets Manager Puoi utilizzare la console Amazon ECR per creare segreti di Secrets Manager per ogni registro upstream autenticato. Per ulteriori informazioni sulla creazione di un segreto di Secrets Manager utilizzando la console Secrets Manager, vedereArchiviazione segreta delle credenziali del repository originale AWS Secrets Manager.

Per Amazon ECR, devi creare un ruolo IAM se i registri Amazon ECR upstream e downstream appartengono a un account diverso. AWS Per ulteriori informazioni sulla creazione di un ruolo IAM, consulta Le politiche IAM sono necessarie per il pull through della cache da ECR a ECR su più account.

Dopo aver creato una regola pull through cache per il registro upstream, estrai un'immagine da quel registro upstream utilizzando l'URI del tuo registro privato Amazon ECR. Amazon ECR, quindi, crea un repository e memorizza l'immagine nella cache nel tuo registro privato. Per le richieste pull successive dell'immagine memorizzata nella cache con un determinato tag, Amazon ECR verifica la presenza di una nuova versione dell'immagine con quel tag specifico e tenta di aggiornare l'immagine nel registro privato almeno una volta ogni 24 ore.

Modelli per la creazione di repository

Amazon ECR ha aggiunto il supporto per i modelli di creazione di repository, che ti consente di specificare le configurazioni iniziali per i nuovi repository creati da Amazon ECR per tuo conto utilizzando le regole pull through cache. Ogni modello contiene un prefisso dello spazio dei nomi del repository che viene utilizzato per abbinare i nuovi repository a un modello specifico. I modelli possono specificare la configurazione per tutte le impostazioni del repository, comprese le policy di accesso basate sulle risorse, l'immutabilità dei tag, la crittografia e le policy del ciclo di vita. Le impostazioni in un modello di creazione di repository vengono applicate solo durante la creazione del repository e non hanno alcun effetto sui repository esistenti o sui repository creati con altri metodi. Per ulteriori informazioni, consulta Modelli per controllare i repository creati durante un'azione di pull through, cache o replica.

Considerazioni sull'utilizzo delle regole pull through cache

Considera quanto segue quando utilizzi le regole pull through cache di Amazon ECR.

  • La creazione di regole di cache pull-through non è supportata nelle seguenti regioni.

    • Cina (Pechino) (cn-north-1)

    • Cina (Ningxia) (cn-northwest-1)

    • AWS GovCloud (Stati Uniti orientali) () us-gov-east-1

    • AWS GovCloud (Stati Uniti occidentali) () us-gov-west-1

  • AWS Lambda non supporta l'estrazione di immagini di container da Amazon ECR utilizzando una regola pull through cache.

  • Quando si estraggono immagini utilizzando la cache pull-through, gli endpoint del servizio FIPS di Amazon ECR non sono supportati la prima volta che viene estratta un'immagine. Tuttavia, l'utilizzo degli endpoint del servizio FIPS Amazon ECR funziona sui pull successivi.

  • Quando un'immagine memorizzata nella cache viene estratta dall'URI del registro privato di Amazon ECR, i recuperi delle immagini vengono avviati dagli indirizzi IP. AWS Ciò garantisce che l'estrazione dell'immagine non tenga conto delle quote relative alla frequenza di estrazione implementate dal registro upstream.

  • Quando un'immagine memorizzata nella cache viene estratta attraverso l'URI del registro privato di Amazon ECR, quest'ultimo controlla il repository upstream almeno una volta ogni 24 ore per verificare se la versione dell'immagine memorizzata nella cache è la più recente. Se è presente un'immagine più recente nel registro upstream, Amazon ECR tenta di aggiornare l'immagine memorizzata nella cache. Questo timer è basato sull'ultima estrazione dell'immagine memorizzata nella cache.

  • Se per qualsiasi motivo Amazon ECR non è in grado di aggiornare l'immagine dal registro upstream e l'immagine viene estratta, l'ultima immagine memorizzata nella cache verrà comunque estratta.

  • Quando crei il segreto di Secrets Manager contenente le credenziali del registro upstream, il nome del segreto deve utilizzare il prefisso ecr-pullthroughcache/. Il segreto, inoltre, deve trovarsi nello stesso account e nella stessa regione in cui è stata creata la regola di cache pull-through.

  • Quando un'immagine multi-architettura viene estratta utilizzando una regola di cache pull-through, l'elenco manifesto e ogni immagine a cui fa riferimento nell'elenco manifesto vengono estratti nel repository Amazon ECR. Se si desidera estrarre solo un'architettura specifica, è possibile estrarre l'immagine utilizzando il digest dell'immagine o il tag associato all'architettura anziché il tag associato all'elenco manifesto.

  • Amazon ECR utilizza un ruolo IAM collegato ai servizi che fornisce le autorizzazioni necessarie ad Amazon ECR per creare per tuo conto il repository, recuperare il valore segreto di Secrets Manager per l'autenticazione e inviare l'immagine memorizzata nella cache. Il ruolo IAM collegato ai servizi viene creato automaticamente quando viene creata una regola di cache pull-through. Per ulteriori informazioni, consulta Ruolo collegato ai servizi Amazon ECR per la cache pull-through.

  • Per impostazione predefinita, il principale IAM che estrae l'immagine memorizzata nella cache dispone delle autorizzazioni concesse tramite la policy IAM. È possibile utilizzare la policy delle autorizzazioni del registro privato di Amazon ECR per definire ulteriormente le autorizzazioni di un'entità IAM. Per ulteriori informazioni, consulta Utilizzo delle autorizzazioni di registro.

  • I repository Amazon ECR creati utilizzando il flusso di lavoro della cache pull-through vengono trattati come qualsiasi altro repository Amazon ECR. Sono supportate tutte le funzionalità del repository, come la replica e la scansione delle immagini.

  • Quando Amazon ECR crea un nuovo repository per tuo conto utilizzando un'azione di cache pull-through, al repository vengono applicate le impostazioni predefinite indicate di seguito, a meno che non esista un modello di creazione repository corrispondente. Puoi utilizzare un modello di creazione repository per definire le impostazioni applicate ai repository creati da Amazon ECR per tuo conto. Per ulteriori informazioni, consulta Modelli per controllare i repository creati durante un'azione di pull through, cache o replica.

    • Immutabilità dei tag: se disattivata, i tag sono mutabili e possono essere sovrascritti.

    • Crittografia: viene utilizzata la crittografia AES256 predefinita.

    • Autorizzazioni del repository: se omesse, non vengono applicate policy relative alle autorizzazioni del repository.

    • Policy del ciclo di vita: se omesse, non vengono applicate policy del ciclo di vita.

    • Tag delle risorse: se omessi, non viene applicato alcun tag di risorsa.

  • L'attivazione dell'immutabilità dei tag di immagine per i repository utilizzando una regola di cache pull-through impedirà ad Amazon ECR di aggiornare le immagini utilizzando lo stesso tag.

  • Quando un'immagine viene recuperata utilizzando la regola pull-through cache per la prima volta, può essere necessario un percorso verso Internet. In alcune circostanze è necessario un percorso verso Internet, quindi è meglio impostare un percorso per evitare errori. Pertanto, se hai configurato Amazon ECR per utilizzare un'interfaccia che AWS PrivateLink utilizza un endpoint VPC, devi assicurarti che il primo pull abbia un percorso verso Internet. Un modo per farlo consiste nel creare una sottorete pubblica nello stesso VPC, con un gateway Internet, e quindi indirizzare tutto il traffico in uscita verso Internet dalla sottorete privata alla sottorete pubblica. I successivi recuperi di immagini che utilizzano la regola pull through cache non richiedono questa operazione. Per ulteriori informazioni, consulta Opzioni di routing di esempio nella Guida per l'utente di Amazon Virtual Private Cloud.