Sincronizza un registro upstream con un registro ECR privato Amazon - Amazon ECR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sincronizza un registro upstream con un registro ECR privato Amazon

Utilizzando le regole pull through cache, puoi sincronizzare il contenuto di un registro upstream con il tuo registro ECR privato Amazon.

Amazon ECR attualmente supporta la creazione di regole pull through cache per i seguenti registri upstream.

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry e GitLab Container Registry (richiede l'autenticazione)

  • Amazon ECR Public, il registro delle immagini dei container Kubernetes e Quay (non richiede l'autenticazione)

Per GitLab Container Registry, Amazon ECR supporta la funzionalità pull through cache solo con l' GitLab software-as-a-service offerta GitLab .com.

Per i registri upstream che richiedono l'autenticazione, devi archiviare le credenziali in modo segreto. AWS Secrets Manager La ECR console Amazon semplifica la creazione del segreto di Secrets Manager per ciascuno dei registri upstream autenticati. Per ulteriori informazioni sulla creazione di un segreto di Secrets Manager utilizzando la console Secrets Manager, vedereArchiviazione segreta delle credenziali del repository originale AWS Secrets Manager.

Dopo aver creato una regola pull through cache per il registro upstream, estrai semplicemente un'immagine da quel registro upstream utilizzando il tuo registro ECR privato Amazon. URI Amazon crea ECR quindi un repository e memorizza l'immagine nella cache del tuo registro privato. Nelle tue successive pull request dell'immagine memorizzata nella cache con un determinato tag, Amazon ECR controlla il registro upstream per vedere se esiste una nuova versione dell'immagine con quel tag specifico e tenta di aggiornare l'immagine nel tuo registro privato almeno una volta ogni 24 ore.

Modelli per la creazione di repository

Amazon ECR ha aggiunto il supporto per i modelli di creazione di repository, che ti consente di specificare le configurazioni iniziali per i nuovi repository creati da Amazon per tuo ECR conto utilizzando le regole pull through cache. Ogni modello contiene un prefisso dello spazio dei nomi del repository che viene utilizzato per abbinare i nuovi repository a un modello specifico. I modelli possono specificare la configurazione per tutte le impostazioni del repository, comprese le policy di accesso basate sulle risorse, l'immutabilità dei tag, la crittografia e le policy del ciclo di vita. Le impostazioni in un modello di creazione di repository vengono applicate solo durante la creazione del repository e non hanno alcun effetto sui repository esistenti o sui repository creati con altri metodi. Per ulteriori informazioni, consulta Modelli per controllare i repository creati durante un'azione di pull through, cache o replica.

Considerazioni sull'utilizzo delle regole pull through cache

Considera quanto segue quando utilizzi le regole della cache ECR pull through di Amazon.

  • La creazione di regole di cache pull-through non è supportata nelle seguenti regioni.

    • Cina (Pechino) (cn-north-1)

    • Cina (Ningxia) (cn-northwest-1)

    • AWS GovCloud (Stati Uniti orientali) (us-gov-east-1)

    • AWS GovCloud (Stati Uniti occidentali) () us-gov-west-1

  • AWS Lambda non supporta l'estrazione di immagini di container da Amazon ECR utilizzando una regola pull through cache.

  • Quando si estraggono immagini utilizzando la cache pull through, gli endpoint del ECR FIPS servizio Amazon non sono supportati la prima volta che viene estratta un'immagine. Tuttavia, l'utilizzo degli endpoint del ECR FIPS servizio Amazon funziona nei richiami successivi.

  • Quando un'immagine memorizzata nella cache viene estratta dal registro ECR privato di AmazonURI, i recuperi delle immagini vengono avviati dagli indirizzi IP. AWS Ciò garantisce che l'estrazione dell'immagine non tenga conto delle quote relative alla frequenza di estrazione implementate dal registro upstream.

  • Quando un'immagine memorizzata nella cache viene inserita nel registro ECR privato di Amazon, URI Amazon ECR controlla l'archivio upstream almeno una volta ogni 24 ore per verificare se l'immagine memorizzata nella cache è la versione più recente. Se c'è un'immagine più recente nel registro upstream, Amazon ECR tenta di aggiornare l'immagine memorizzata nella cache. Questo timer è basato sull'ultima estrazione dell'immagine memorizzata nella cache.

  • Se Amazon non ECR è in grado di aggiornare l'immagine dal registro upstream per qualsiasi motivo e l'immagine viene recuperata, l'ultima immagine memorizzata nella cache verrà comunque recuperata.

  • Quando crei il segreto di Secrets Manager contenente le credenziali del registro upstream, il nome del segreto deve utilizzare il prefisso ecr-pullthroughcache/. Il segreto, inoltre, deve trovarsi nello stesso account e nella stessa regione in cui è stata creata la regola di cache pull-through.

  • Quando un'immagine multiarchitettura viene estratta utilizzando una regola pull through cache, l'elenco dei manifest e ogni immagine a cui si fa riferimento nell'elenco dei manifest vengono trasferiti nel repository Amazon. ECR Se si desidera estrarre solo un'architettura specifica, è possibile estrarre l'immagine utilizzando il digest dell'immagine o il tag associato all'architettura anziché il tag associato all'elenco manifesto.

  • Amazon ECR utilizza un IAM ruolo collegato al servizio, che fornisce le autorizzazioni necessarie ECR ad Amazon per creare il repository, recuperare il valore segreto di Secrets Manager per l'autenticazione e inviare l'immagine memorizzata nella cache per tuo conto. Il IAM ruolo collegato al servizio viene creato automaticamente quando viene creata una regola pull through cache. Per ulteriori informazioni, consulta Ruolo ECR collegato ai servizi Amazon per il pull through cache.

  • Per impostazione predefinita, il IAM principale che estrae l'immagine memorizzata nella cache dispone delle autorizzazioni concesse tramite la propria politica. IAM Puoi utilizzare la politica di autorizzazione del registro ECR privato di Amazon per definire ulteriormente le autorizzazioni di un'IAMentità. Per ulteriori informazioni, consulta Utilizzo delle autorizzazioni di registro.

  • I ECR repository Amazon creati utilizzando il flusso di lavoro pull through cache vengono trattati come qualsiasi altro ECR repository Amazon. Sono supportate tutte le funzionalità del repository, come la replica e la scansione delle immagini.

  • Quando Amazon ECR crea un nuovo repository per tuo conto utilizzando un'azione pull through cache, al repository vengono applicate le seguenti impostazioni predefinite, a meno che non esista un modello di creazione del repository corrispondente. Puoi utilizzare un modello di creazione di repository per definire le impostazioni applicate ai repository creati da Amazon per tuo ECR conto. Per ulteriori informazioni, consulta Modelli per controllare i repository creati durante un'azione di pull through, cache o replica.

    • Immutabilità dei tag: se disattivata, i tag sono mutabili e possono essere sovrascritti.

    • Crittografia: viene utilizzata la crittografia AES256 predefinita.

    • Autorizzazioni del repository: se omesse, non vengono applicate policy relative alle autorizzazioni del repository.

    • Policy del ciclo di vita: se omesse, non vengono applicate policy del ciclo di vita.

    • Tag delle risorse: se omessi, non viene applicato alcun tag di risorsa.

  • L'attivazione dell'immutabilità dei tag di immagine per i repository utilizzando una regola pull through cache impedirà ad Amazon ECR di aggiornare le immagini utilizzando lo stesso tag.

  • Quando un'immagine viene recuperata utilizzando la regola pull through cache per la prima volta, potrebbe essere necessario un percorso verso Internet. In alcune circostanze è necessario un percorso verso Internet, quindi è meglio impostare un percorso per evitare errori. Pertanto, se hai configurato Amazon ECR per utilizzare un'interfaccia VPC endpoint AWS PrivateLink , devi assicurarti che il primo pull abbia un percorso verso Internet. Un modo per farlo è creare una sottorete pubblica nella stessa areaVPC, con un gateway Internet, e quindi indirizzare tutto il traffico in uscita verso Internet dalla sottorete privata alla sottorete pubblica. Le successive estrazioni di immagini che utilizzano la regola pull through cache non richiedono questa operazione. Per ulteriori informazioni, consulta Opzioni di routing di esempio nella Guida per l'utente di Amazon Virtual Private Cloud.