FAQ HAQM Elastic Container Registry
Umum
Buka semuaApa itu HAQM Elastic Container Registry (HAQM ECR)?
HAQM ECR merupakan registri kontainer yang dikelola sepenuhnya yang memudahkan developer untuk membagikan dan menerapkan citra kontainer serta artefak. HAQM ECR terintegrasi dengan HAQM Elastic Container Service (HAQM ECS), HAQM Elastic Kubernetes Service (HAQM EKS), dan AWS Lambda, yang menyederhanakan pengembangan Anda ke alur kerja produksi. HAQM ECR membuat Anda tak perlu lagi mengoperasikan repositori kontainer Anda sendiri atau khawatir tentang penskalaan infrastruktur dasar. HAQM ECR menghosting citra Anda dalam arsitektur yang selalu tersedia dan dapat dikembangkan, sehingga kontainer untuk aplikasi Anda dapat diterapkan dengan andal. Integrasi dengan AWS Identity and Access Management (IAM) memberikan kontrol tingkat sumber daya setiap repositori agar Anda dapat berbagi citra di seluruh organisasi Anda atau dengan siapa pun di dunia.
Mengapa saya harus menggunakan HAQM ECR?
HAQM ECR menghilangkan kebutuhan untuk mengoperasikan dan menskalakan infrastruktur yang diperlukan untuk memberi daya pada registri kontainer Anda. HAQM ECR menggunakan HAQM Simple Storage Service (S3) untuk penyimpanan agar citra kontainer Anda sangat tersedia dan dapat diakses, memungkinkan Anda untuk melakukan deployment kontainer baru untuk aplikasi Anda dengan andal. HAQM ECR mentransfer citra kontainer Anda melalui HTTPS dan secara otomatis mengenkripsi citra Anda saat diam. Anda dapat mengonfigurasi kebijakan untuk mengelola izin untuk setiap repositori dan membatasi akses ke pengguna, peran IAM, atau akun AWS lainnya. HAQM ECR terintegrasi dengan HAQM ECS, HAQM EKS, AWS Fargate, AWS Lambda dan CLI Docker, agar alur kerja pengembangan dan produksi Anda dapat disederhanakan. Anda dapat dengan mudah mendorong image kontainer ke HAQM ECR menggunakan CLI Docker dari mesin pengembangan Anda, dan HAQM ECR dapat menariknya langsung untuk penerapan produksi.
Berapa harga HAQM ECR?
Dengan HAQM ECR, tidak perlu biaya ataupun komitmen awal. Anda cukup membayar sesuai jumlah data yang Anda simpan di repositori publik dan privat dan data yang ditransfer ke Internet. Lihat halaman Harga kami untuk detail selengkapnya.
Apakah HAQM ECR merupakan layanan global?
HAQM ECR merupakan suatu layanan Regional dan dirancang untuk menghadirkan fleksibilitas dalam cara Anda menerapkan citra. Anda memiliki kemampuan untuk mendorong/menarik citra ke Wilayah AWS yang sama tempat klaster Docker Anda berjalan untuk performa terbaik. Anda juga dapat mengakses HAQM ECR di mana saja yang dijalankan Docker, seperti desktop dan lingkungan on-premise. Menarik citra antar Wilayah atau keluar ke internet akan berdampak pada latensi tambahan dan biaya transfer data.
Apakah HAQM ECR dapat melakukan hosting citra kontainer publik?
Ya. HAQM ECR memiliki registri kontainer dan situs web yang sangat tersedia yang memudahkan Anda untuk berbagi atau mencari perangkat lunak kontainer publik. Siapa pun yang memiliki atau tidak memiliki akun AWS dapat menggunakan galeri publik HAQM ECR untuk mencari dan mengunduh citra kontainer yang umum digunakan, seperti sistem operasi, citra yang dipublikasikan oleh AWS, dan file, seperti bagan Helm untuk Kubernetes.
Apa perbedaan antara repositori publik dan privat HAQM ECR?
Repositori pribadi tidak memiliki kemampuan pencarian konten dan memerlukan autentikasi berbasis HAQM IAM menggunakan kredensial akun AWS sebelum mengizinkan penarikan image. Repositori publik memiliki konten deskriptif dan memungkinkan siapa pun di mana pun menarik citra tanpa perlu akun AWS ataupun menggunakan kredensial IAM. Citra repositori publik juga tersedia di galeri publik HAQM ECR.
Kemampuan kepatuhan apa yang dapat saya aktifkan di HAQM ECR?
Anda dapat menggunakan AWS CloudTrail di HAQM ECR untuk memberikan riwayat semua tindakan API seperti siapa yang menarik image dan kapan tag dipindahkan antar image. Administrator juga dapat menemukan instans EC2 mana yang menarik image mana.
Menggunakan HAQM ECR
Buka semuaBagaimana cara mulai menggunakan HAQM ECR?
Cara terbaik untuk mulai menggunakan HAQM ECR adalah menggunakan CLI Docker untuk mendorong dan menarik citra pertama Anda. Kunjungi halaman Memulai untuk informasi selengkapnya.
Apakah saya dapat mengakses HAQM ECR di dalam sebuah VPC?
Ya. Anda dapat mengatur titik akhir AWS PrivateLink untuk memungkinkan instans Anda mengambil citra dari repositori privat Anda tanpa melintasi internet publik.
Apa cara terbaik untuk mengelola repositori dan citra saya?
HAQM ECR menyediakan antarmuka baris perintah dan API untuk membuat, memantau, dan menghapus repositori serta menetapkan izin repositori. Anda dapat melakukan tindakan yang sama di konsol HAQM ECR, yang dapat diakses melalui bagian “Repositori” dari konsol HAQM ECR. HAQM ECR juga terintegrasi dengan Docker CLI, memungkinkan Anda mendorong, menarik, dan menandai citra pada mesin pengembangan Anda.
Bagaimana cara membagikan citra secara publik menggunakan HAQM ECR?
Anda mempublikasikan citra ke galeri publik HAQM ECR dengan masuk ke akun AWS dan mendorong ke repositori publik yang Anda buat. Anda diberi alias unik per akun untuk digunakan di URL citra yang mengidentifikasi semua citra publik yang Anda publikasikan.
Apakah saya dapat menggunakan alias kustom untuk citra publik?
Ya. Anda dapat meminta alias kustom seperti organisasi atau nama proyek Anda, kecuali alias itu adalah yang dipesan. Nama yang mengidentifikasi layanan AWS dipesan. Nama yang mengidentifikasi penjual AWS Marketplace juga dapat dipesan. Kami akan meninjau dan menyetujui permintaan alias kustom Anda dalam jangka waktu beberapa hari, kecuali permintaan alias Anda melanggar Kebijakan Penggunaan yang Bisa Diterima AWS atau kebijakan AWS lainnya.
Bagaimana cara menarik citra publik dari HAQM ECR?
Anda menarik menggunakan perintah ‘docker pull’ yang sudah dikenal dengan URL citra. Anda bisa mencari URL ini dengan mudah, mencari citra menggunakan alias penerbit, nama citra, atau deskripsi citra menggunakan galeri publik HAQM ECR. Format URL citra adalah public.ecr.aws/<alias>/<image>:<tag>, misalnya public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5
Apakah HAQM ECR mereplikasi citra ke seluruh AWS Region?
Ya. HAQM ECR dirancang untuk memberi Anda fleksibilitas dalam hal tempat Anda menyimpan dan cara Anda menerapkan citra Anda. Anda dapat membuat jalur penerapan yang membangun citra, mendorongnya ke HAQM ECR di satu Wilayah, dan HAQM ECR dapat secara otomatis mereplikasinya ke Wilayah dan akun lain untuk penerapan ke kluster multi-Wilayah.
Apakah HAQM ECR dapat digunakan di lingkungan lokal dan on-premise?
Ya. Anda dapat mengakses HAQM ECR di mana pun yang dijalankan Docker seperti desktop dan lingkungan on-premise.
Apakah galeri publik HAQM ECR menyediakan citra yang dipublikasikan AWS?
Ya. Layanan seperti HAQM EKS, HAQM SageMaker, dan AWS Lambda memublikasikan citra dan artefak kontainer penggunaan publik resmi mereka ke HAQM ECR.
Apakah HAQM ECR dapat bekerja dengan HAQM ECS?
Ya. HAQM ECR terintegrasi dengan HAQM ECS, memungkinkan Anda dengan mudah menyimpan, menjalankan, dan mengelola citra kontainer untuk aplikasi yang berjalan di HAQM ECS. Yang perlu Anda lakukan adalah menentukan repositori HAQM ECR dalam definisi tugas Anda dan HAQM ECS akan mengambil citra yang sesuai untuk aplikasi Anda.
Apakah HAQM ECR dapat bekerja dengan AWS Elastic Beanstalk?
Ya. AWS Elastic Beanstalk mendukung HAQM ECR untuk lingkungan Docker tunggal dan multikontainer sehingga memungkinkan Anda untuk dengan mudah melakukan deployment citra kontainer yang disimpan di HAQM ECR dengan AWS Elastic Beanstalk. Yang perlu Anda lakukan adalah menentukan repositori HAQM ECR di konfigurasi Dockerrun.aws.json Anda dan melampirkan kebijakan HAQMEC2ContainerRegistryReadOnly ke peran instans kontainer Anda.
Versi Mesin Docker apa yang didukung oleh HAQM ECR?
HAQM ECR saat ini mendukung Docker Engine 1.7.0 ke atas.
Versi API Docker Registry apa yang didukung oleh HAQM ECR?
HAQM ECR mendukung spesifikasi API Docker Registry V2.
Apakah HAQM ECR akan otomatis membangun citra dari Dockerfile?
Tidak. Namun, HAQM ECR terintegrasi dengan sejumlah solusi CI/CD populer untuk menyediakan kemampuan ini. Lihat halaman Partner HAQM ECR untuk informasi selengkapnya.
Apakah HAQM ECR mendukung akses gabungan?
Ya. HAQM ECR terintegrasi dengan AWS Identity and Access Management (IAM), yang mendukung federasi identitas untuk akses yang didelegasikan ke Konsol Manajemen AWS atau API AWS.
Versi spesifikasi Manifes Citra Docker apa yang didukung oleh HAQM ECR?
HAQM ECR mendukung format Docker Image Manifest V2, Schema 2. Untuk menjaga kompatibilitas mundur dengan image Schema 1, HAQM ECR akan terus menerima image yang diunggah dalam format Schema 1. Selain itu, HAQM ECR dapat menerjemahkan dari image Schema 2 ke Schema 1 saat menarik dengan versi lama dari Mesin Docker (1.9 ke bawah).
Apakah HAQM ECR mendukung format Open Container Initiative (OCI)?
Ya. HAQM ECR kompatibel dengan spesifikasi citra Open Container Initiative (OCI), memungkinkan Anda mendorong dan menarik citra dan artefak OCI. HAQM ECR juga dapat menerjemahkan antara Manifes Citra Docker V2, citra Skema 2 dan citra OCI saat ditarik.
Keamanan
Buka semuaBagaimana cara HAQM ECR membantu memastikan bahwa citra kontainer aman?
HAQM ECR secara otomatis mengenkripsi citra saat diam menggunakan enkripsi sisi server HAQM S3 atau enkripsi AWS KMS dan mentransfer citra kontainer Anda melalui HTTPS. Anda dapat mengonfigurasi kebijakan untuk mengelola izin dan mengontrol akses ke gambar Anda menggunakan pengguna dan peran AWS Identity and Access Management (IAM) tanpa perlu mengelola kredensial secara langsung di instans EC2 Anda.
Bagaimana cara menggunakan AWS Identity and Access Management (IAM) untuk mendapatkan izin?
Anda dapat menggunakan kebijakan berbasis sumber daya IAM untuk mengontrol dan memantau siapa dan apa (misalnya, instans EC2) yang dapat mengakses citra kontainer Anda, serta bagaimana, kapan, dan di mana mereka dapat mengaksesnya. Untuk memulai, gunakan Konsol Manajemen AWS untuk membuat kebijakan berbasis sumber daya untuk repositori Anda. Atau, Anda dapat menggunakan contoh kebijakan dan melampirkannya ke repositori Anda melalui HAQM ECR CLI.
Apakah saya dapat membagikan citra di seluruh akun AWS?
Ya. Berikut ini adalah contoh cara membuat dan menetapkan kebijakan untuk berbagi citra lintas akun.
Apakah HAQM ECR memindai kerentanan citra kontainer?
Anda dapat mengaktifkan HAQM ECR agar memindai citra kontainer secara otomatis untuk mengecek beragam kerentanan sistem operasi. Anda juga dapat memindai citra menggunakan perintah API, dan HAQM ECR akan memberi tahu Anda melalui API maupun dalam konsol jika pemindaian selesai. Untuk pemindaian citra yang ditingkatkan, Anda dapat mengaktifkan HAQM Inspector.