HAQM Elastic Container Registry | Häufig gestellte Fragen
Allgemeines
Alles öffnenWas ist HAQM Elastic Container Registry (HAQM ECR)?
HAQM ECR ist eine vollständig verwaltete Container-Registry, die Entwicklern das Speichern, Verwalten und Bereitstellen von Container-Images erleichtert. HAQM ECR ist in HAQM Elastic Container Service (HAQM ECS), HAQM Elastic Kubernetes Service (HAQM EKS) und AWS Lambda integriert, was Ihren Workflow von der Entwicklung bis zur Produktion vereinfacht HAQM ECR macht den Einsatz eigener Container Repositorys und Bedenken zur Skalierung der zugrundeliegenden Infrastruktur überflüssig. Mit HAQM ECR können Sie Ihre Images in einer hochverfügbaren und skalierbaren Architektur hosten und damit zuverlässig Container für Ihre Anwendungen bereitstellen. Die Integration in AWS Identity and Access Management (IAM) ermöglicht die Kontrolle auf Ressourcenebene von jedem Repository, sodass Sie Images innerhalb Ihres Unternehmens oder mit jedem auf der Welt gemeinsam nutzen können.
Warum sollte ich HAQM ECR verwenden?
Mit HAQM ECR muss die für Ihre Container-Registry benötigte Infrastruktur nicht selbst betrieben und skaliert werden. HAQM ECR verwendet den HAQM Simple Storage Service (S3) zur Speicherung. So sind Ihre Container-Images hoch verfügbar und verlässlich zugreifbar. Sie können die neuen Container für Ihre Anwendung somit zuverlässig bereitstellen. HAQM ECR überträgt Ihre Container-Images über HTTPS und verschlüsselt Ihre gespeicherten Images automatisch. Sie können Richtlinien für die Zugriffsverwaltung auf jedes Repository konfigurieren und den Zugriff auf IAM-Nutzer und -Rollen sowie andere AWS-Konten beschränken. HAQM ECR ist mit HAQM ECS, HAQM EKS, AWS Fargate, AWS Lambda und der Docker CLI kompatibel, wodurch Ihre Entwicklungs- und Produktionsarbeitsabläufe vereinfacht werden können. Sie können Ihre Container-Images mit der Docker CLI von Ihrem Entwicklungsgerät einfach an HAQM ECR übermitteln und die HAQM Container-Orchestratoren oder die Datenverarbeitung können diese für die Produktionsbereitstellung direkt weiterleiten.
Wie sieht das Preisangebot für HAQM ECR aus?
Mit HAQM ECR müssen Sie keine Vorauszahlungen leisten oder sonstige Verbindlichkeiten eingehen. Sie zahlen nur für die Datenmenge, die Sie in Ihren öffentlichen oder privaten Repositorys speichern, sowie für die ins Internet übertragenen Daten. Weitere Informationen finden Sie auf der Seite mit der Preisübersicht.
Ist HAQM ECR ein globaler Service?
HAQM ECR ist ein regionaler Dienst und so konzipiert, dass Sie bei der Art der Bereitstellung flexibel sind. Sie können Abbilder in derselben AWS-Region bereitstellen oder abrufen, in der Ihre Docker-Cluster ausgeführt werden. So erhalten Sie die beste Leistung. Sie haben außerdem von überall dort Zugriff auf HAQM ECR, wo Docker ausgeführt wird, beispielsweise auf Desktop-Computern oder in On-Premises-Umgebungen. Wenn Sie Images zwischen Regionen oder aus dem Internet abrufen, entstehen zusätzliche Kosten für die Latenz und die Datenübertragung.
Kann HAQM ECR öffentliche Container-Images hosten?
Ja. HAQM ECR verfügt über ein hochverfügbares Container-Registry und eine Website, die es Ihnen leicht macht, öffentliche Container-Software freizugeben oder nach ihr zu suchen. Jeder mit oder ohne AWS-Konto kann die HAQM ECR Public Gallery nutzen, um nach häufig verwendeten Container-Images wie Betriebssystemen, von AWS veröffentlichten Images und Dateien wie Helm-Charts für Kubernetes zu suchen und herunterzuladen.
Was ist der Unterschied zwischen den öffentlichen und privaten HAQM-ECR-Repositorys?
Ein privates Repository bietet keine Funktionen zur Inhaltssuche und erfordert eine HAQM IAM-basierte Authentifizierung mit AWS-Konto-Anmeldedaten, bevor Images abgerufen werden können. Ein öffentliches Repository verfügt über beschreibende Inhalte und ermöglicht es jedem, von überall her Bilder abzurufen, ohne ein AWS-Konto zu benötigen oder IAM-Zugangsdaten zu verwenden. Images aus dem öffentlichen Repository sind auch in der öffentlichen Galerie von HAQM ECR verfügbar.
Welche Compliance-Möglichkeiten habe ich mit HAQM ECR?
Sie können AWS CloudTrail auf HAQM ECR verwenden und einen Verlauf aller API-Aktionen abrufen, etwa wer ein Abbild bereitgestellt hat oder wann Tags zwischen Abbildern verschoben wurden. Administratoren können außerdem sehen, welche Abbilder von welchen EC2-Instances abgerufen wurden.
Verwendung von HAQM ECR
Alles öffnenWas sind die ersten Schritte mit HAQM ECR?
Der beste Weg, um mit HAQM ECR zu beginnen, ist die Verwendung der Docker CLI zum Drücken und Ziehen und Ihres ersten Image. Auf unserer Seite Erste Schritte erhalten Sie weitere Informationen.
Kann ich innerhalb einer VPC auf HAQM ECR zugreifen?
Ja. Sie können AWS-PrivateLink-Endpunkte so einrichten, dass Ihre Instances Images aus Ihren privaten Repositorys abrufen können, ohne das öffentliche Internet zu durchqueren.
Wie verwalte ich meine Repositorys und Images am besten?
HAQM ECR bietet eine Befehlszeilenschnittstelle und APIs, um Repositorys zu erstellen, überwachen und zu löschen sowie Berechtigungen für Repositorys festzulegen. Sie können dieselben Aktionen über die HAQM-ECR-Konsole ausführen. Darauf haben Sie im Abschnitt „Repositorys“ in der HAQM-ECR-Konsole Zugriff. HAQM ECR ist auch mit Docker CLI kompatibel. So können Sie Images auf Ihrem Entwicklungscomputer bereitstellen, abrufen und taggen.
Wie gebe ich ein Image mittels HAQM ECR öffentlich frei?
Sie veröffentlichen ein Image in der öffentlichen Galerie von HAQM ECR, indem Sie sich bei Ihrem AWS-Konto anmelden und Daten auf ein von Ihnen erstelltes öffentliches Repository übertragen. Ihnen wird pro Konto ein eindeutiger Alias für die Verwendung in Bild-URLs zugewiesen, der alle öffentlichen Images identifiziert, die Sie veröffentlichen.
Kann ich einen benutzerdefinierten Alias für meine öffentlichen Images verwenden?
Ja. Sie können einen benutzerdefinierten Aliasnamen wie den Namen Ihres Unternehmens oder Ihres Projekts anfordern, es sei denn, es handelt sich um einen reservierten Aliasnamen. Namen, die AWS-Services identifizieren, sind reserviert. Namen, die AWS-Marketplace-Verkäufer identifizieren, sind möglicherweise ebenfalls reserviert. Wir werden Ihren Antrag auf einen benutzerdefinierten Alias innerhalb weniger Tage prüfen und genehmigen, es sei denn, Ihr Antrag verstößt gegen die AWS-Richtlinie zur akzeptablen Nutzung oder andere AWS-Richtlinien.
Wie rufe ich ein öffentliches Image aus HAQM ECR ab?
Sie ziehen mit dem bekannten 'docker pull'-Befehl mit der URL des Images. Sie können einfach nach dieser URL suchen, indem Sie Images unter Verwendung eines Veröffentlicher-Alias, eines Image-Namens oder einer Image-Beschreibung in der öffentlichen HAQM-ECR-Galerie finden. Image-URLs haben das Format public.ecr.aws/<alias>/<image>:<tag>, zum Beispiel public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5
Repliziert HAQM ECR Images zwischen AWS-Regionen?
Ja. Mit HAQM ECR erhalten Sie Flexibilität beim Speicherort und der Art der Bereitstellung Ihrer Images. Sie können Bereitstellungs-Pipelines erstellen, die Images erstellen, und diese in eine Region an HAQM ECR pushen, und HAQM ECR kann sie automatisch in andere Regionen und Konten replizieren, um sie in Cluster mit mehreren Regionen zu verteilen.
Kann ich HAQM ECR in lokalen und On-Premises-Umgebungen verwenden?
Ja. Sie haben außerdem von überall dort Zugriff auf HAQM ECR, wo Docker ausgeführt wird, beispielsweise auf Desktop-Computern oder in lokalen Umgebungen.
Stellt die HAQM ECR Public Gallery Images zur Verfügung, die von AWS veröffentlicht wurden?
Ja. Services wie HAQM EKS, HAQM SageMaker und AWS Lambda veröffentlichen ihre offiziellen Container-Images und -Artefakte zur öffentlichen Nutzung in HAQM ECR.
Funktioniert HAQM ECR mit HAQM ECS?
Ja. HAQM ECR ist mit HAQM ECS kombiniert, um Ihnen das einfache Speichern, Ausführen und Verwalten von Container-Abbilder für Anwendungen zu ermöglichen, die in HAQM ECS ausgeführt werden. Alles, was Sie tun müssen, ist, das HAQM ECR-Repository in Ihrer Aufgabendefinition anzugeben, und HAQM ECS ruft die entsprechenden Images für Ihre Anwendungen ab.
Funktioniert HAQM ECR mit AWS Elastic Beanstalk?
Ja. AWS Elastic Beanstalk unterstützt HAQM ECR für Docker-Umgebungen mit einem oder mehreren Containern. So können Sie auf HAQM ECR gespeicherte Container-Abbilder einfach mit AWS Elastic Beanstalk bereitstellen. Sie müssen lediglich das HAQM ECR-Repository in Ihrer Dockerrun.aws.json-Konfiguration angeben und die HAQMEC2ContainerRegistryReadOnly-Richtlinien an Ihre Container-Instance-Rolle anfügen.
Welche Version der Docker-Engine unterstützt HAQM ECR?
HAQM ECR unterstützt derzeit Docker Engine 1.7.0 und höher.
Welche Version der Docker-Registry-API unterstützt HAQM ECR?
HAQM ECR unterstützt die Docker Registry V2 API-Spezifizierung.
Erstellt HAQM ECR automatisch Images aus einer Docker-Datei?
HAQM ECR lässt sich jedoch mit vielen gängigen CI-/CD-Lösungen integrieren und bietet so diese Option. Weitere Informationen finden Sie auf der Seite der HAQM-ECR-Partner.
Unterstützt HAQM ECR den Verbundzugriff?
Ja. HAQM ECR ist mit AWS Identity and Access Management (IAM) integriert. Dieser Service unterstützt den Identitätsverbund für den delegierten Zugriff auf die AWS-Managementkonsole oder die AWS APIs.
Welche Version der Manifest-Spezifikation für Docker-Images unterstützt HAQM ECR?
HAQM ECR unterstützt Docker Image Manifest V2 im Format von Schema 2. Aus Gründen der Rückwärtskompatibilität mit Abbildern des Schemas 1 akzeptiert HAQM ECR weiterhin Abbilder, die im Format von Schema 1 hochgeladen werden. Darüber hinaus kann HAQM ECR ein Abbild des Schemas 2 in ein Schema 1-Abbild konvertieren, wenn dieses mit einer älteren Version von Docker Engine (1.9 oder früher) heruntergeladen wird.
Unterstützt HAQM ECR das Format der Open Container Initiative (OCI)?
Ja. HAQM ECR ist kompatibel mit der Bildspezifikation der Open Container Initiative (OCI), so dass Sie OCI-Images und -Artefakte in beide Richtungen übertragen können. Beim Herunterladen kann HAQM ECR auch zwischen Schema 2-Abbildern von Docker Image Manifest V2 und OCI-Abbildern konvertieren.
Sicherheit
Alles öffnenWie trägt HAQM ECR zur Sicherheit der Container-Images bei?
HAQM ECR verschlüsselt gespeicherte Images automatisch. Dazu wird die serverseitige HAQM-S3-Verschlüsselung oder die AWS KMS-Verschlüsselung verwendet. Ihre Container-Images werden außerdem über HTTPS übertragen. Sie können Richtlinien zur Verwaltung von Genehmigungen und zur Überprüfung von Zugriffen auf Ihre Abbilder mithilfe der Benutzer und Rollen des AWS Identity and Access Management (IAM) konfigurieren, ohne die Anmeldeinformationen direkt auf Ihrer EC2-Instances verwalten zu müssen.
Wie verwende ich AWS Identity and Access Management (IAM) für Berechtigungen?
Sie können auf IAM-Ressourcen basierte Richtlinien verwenden, um zu steuern und nachzuverfolgen, wer und was (z. B. EC2-Instances) auf Ihre Container-Images zugreifen kann und wie, wann und wo der Zugriff erfolgt ist. Erstellen Sie zunächst in der AWS-Managementkonsole auf Ressourcen basierte Richtlinien für Ihre Repositorys. Sie können auch Beispielrichtlinien verwenden und Sie über HAQM ECR CLI Ihren Repositorys hinzufügen.
Kann ich meine Images für alle AWS-Konten freigeben?
Ja. Hier sehen Sie ein Beispiel dazu, wie Sie Richtlinien für die kontoübergreifende Freigabe von Images erstellen und einrichten.
Scannt HAQM ECR Container-Images auf Schwachstellen?
Sie können HAQM ECR aktivieren, um Ihre Container-Images automatisch auf eine breite Palette von Betriebssystem-Schwachstellen zu prüfen. Sie können Bilder auch mittels API-Befehl scannen und HAQM ECR benachrichtigt sie mithilfe von API und in der Konsole, sobald der Scan abgeschlossen ist. Für optimiertes Scannen von Images können Sie HAQM Inspector einschalten.