Perguntas frequentes sobre o HAQM Elastic Container Registry
Geral
Abrir tudoO que é o HAQM Elastic Container Registry (HAQM ECR)?
O HAQM ECR é um registro de contêiner totalmente gerenciado que facilita o armazenamento, o gerenciamento e a implantação de imagens de contêineres pelos desenvolvedores. O HAQM ECR é integrado ao HAQM Elastic Container Service (HAQM ECS), ao HAQM Elastic Kubernetes Service (HAQM EKS) e ao AWS Lambda, simplificando seu desenvolvimento para o fluxo de trabalho de produção. O HAQM ECR elimina a necessidade de operar os seus próprios repositórios de contêiner ou de preocupar-se sobre a escalabilidade da infraestrutura subjacente. O HAQM ECR hospeda suas imagens em uma arquitetura altamente disponível e escalável, o que permite que você implante de forma confiável contêineres para aplicações. A integração com o AWS Identity and Access Management (IAM) fornece controle em nível de recurso de cada repositório, o que permite compartilhar imagens na organização ou com qualquer pessoa no mundo.
Por que devo usar o HAQM ECR?
O HAQM ECR elimina a necessidade de operar e escalar a infraestrutura exigida para ativar o seu registro do contêiner. O HAQM ECR utiliza o HAQM Simple Storage Service (S3) para armazenamento para tornar suas imagens de contêiner altamente disponíveis e acessíveis, permitindo que você implante com confiança novos contêineres para suas aplicações. O HAQM ECR transfere suas imagens de contêiner pelo HTTPS e criptografa automaticamente suas imagens inativas. Você pode configurar políticas para gerenciar permissões para cada repositório e restringir acesso aos usuários do IAM, funções ou outras contas da AWS. O HAQM ECR integra-se ao HAQM ECS, ao HAQM EKS, ao AWS Fargate, ao AWS Lambda e ao Docker CLI, permitindo que você simplifique seus fluxos de trabalho de desenvolvimento e produção. Você pode enviar facilmente suas imagens de contêiner ao HAQM ECR usando o Docker CLI a partir da sua máquina de desenvolvimento, e os orquestradores ou processadores de contêiner da HAQM podem extraí-las diretamente para implantações em produção.
Qual é a definição de preço do HAQM ECR?
Com o HAQM ECR, não há taxas iniciais ou compromissos. Você paga apenas pela quantidade de dados armazenados nos seus repositórios públicos e privados e pelos dados transferidos para a Internet. Consulte nossa página de Preços para obter mais detalhes.
O HAQM ECR é um serviço global?
O HAQM ECR é um serviço regional e foi desenvolvido para oferecer a você a flexibilidade na forma como as imagens são implantadas. Você pode efetuar push/pull de imagens para a mesma região da AWS em que seu cluster de Docker é executado para obter a melhor performance. Você também pode acessar o HAQM ECR em qualquer lugar que o Docker seja executado, como desktops e ambientes on-premises. Efetuar pull de imagens entre regiões ou para fora da Internet terá latência adicional e custos de transferência de dados.
O HAQM ECR pode hospedar imagens de contêiner públicas?
Sim. O HAQM ECR tem um registro de contêiner altamente disponível e um site que facilita o compartilhamento ou a pesquisa de softwares de contêiner públicos. Qualquer pessoa com ou sem uma conta da AWS pode usar a galeria pública do HAQM ECR para pesquisar e fazer download de imagens de contêineres comumente usadas, como sistemas operacionais, imagens publicadas pela AWS e arquivos como charts do Helm para o Kubernetes.
Qual é a diferença entre os repositórios públicos e privados do HAQM ECR?
Um repositório privado não oferece recursos de pesquisa de conteúdo e requer autenticação baseada no HAQM IAM usando credenciais de conta da AWS antes de permitir que as imagens sejam extraídas. Um repositório público tem conteúdo descritivo e permite que qualquer pessoa em qualquer lugar efetue pull de imagens sem precisar de uma conta da AWS ou usar credenciais do IAM. Imagens de repositório público também estão disponíveis na galeria pública do HAQM ECR.
Quais recursos de compatibilidade eu posso habilitar no HAQM ECR?
Você pode usar o AWS CloudTrail no HAQM ECR para fornecer um histórico de todas as ações de API, como, por exemplo, quem carregou uma imagem e quando os indicadores foram movidos entre imagens. Os administradores também pode encontrar quais instâncias do EC2 transferiram quais imagens.
Como usar o HAQM ECR
Abrir tudoComo começar a usar o HAQM ECR?
A melhor maneira de começar a usar o HAQM ECR é usando a CLI do Docker para efetuar push e pull de sua primeira imagem. Visite nossa página Conceitos básicos para obter mais informações.
Posso acessar o HAQM ECR dentro de um VPC?
Sim. Você pode configurar endpoints do AWS PrivateLink para permitir que suas instâncias efetuem pull de imagens de seus repositórios privados sem percorrer a Internet pública.
Qual é a melhor maneira de gerenciar meus repositórios e imagens?
O HAQM ECR fornece uma interface de linha de comando e APIs para criar, monitorar e excluir repositórios e definir permissões de repositório. Você pode executar as mesmas ações no console do HAQM ECR, que pode ser acessado por meio da seção “Repositories” (Repositórios) do console do HAQM ECR. O HAQM ECR também se integra com a CLI do Docker, permitindo que você efetue push e pull e etiquete as imagens na sua máquina de desenvolvimento.
Como compartilhar uma imagem publicamente usando o HAQM ECR?
Você publica uma imagem na galeria pública do HAQM ECR fazendo login na sua conta da AWS e efetuando push para um repositório público criado por você. Você recebe um alias exclusivo por conta para usar em URLs de imagem que identifica todas as imagens públicas que você publica.
Posso usar um alias personalizado para minhas imagens públicas?
Sim. Você pode solicitar um alias personalizado, como o nome da organização ou do projeto, a menos que seja um alias reservado. Os nomes que identificam os serviços da AWS são reservados. Os nomes que identificam os vendedores do AWS Marketplace também podem ser reservados. Analisaremos e aprovaremos sua solicitação de alias personalizada em alguns dias, a menos que ela viole a Política de uso aceitável da AWS ou outras políticas da AWS.
Como efetuar pull de uma imagem pública do HAQM ECR?
Para efetuar pull, use o conhecido comando “docker pull” com a URL da imagem. Você pode procurar facilmente essa URL localizando imagens com um alias de editor, nome de imagem ou descrição da imagem usando a galeria pública do HAQM ECR. URLs de imagem estão no formato public.ecr.aws/<alias>/<image>:<tag>, por examplo public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5
O HAQM ECR replica imagens entre regiões da AWS?
Sim. O HAQM ECR foi desenvolvido para oferecer a você a flexibilidade onde armazenar e como implantar suas imagens. Você pode criar pipelines de implantação que criam imagens, efetuar push para o HAQM ECR em uma região, e o HAQM ECR pode replicá-los automaticamente em outras regiões e contas para implantação em clusters multirregionais.
Posso usar o HAQM ECR em ambientes on-premises e nas instalações?
Sim. Você pode acessar o HAQM ECR em qualquer lugar que o Docker seja executado, como desktops e ambientes locais.
A galeria pública do HAQM ECR fornece imagens publicadas pela AWS?
Sim. Serviços como o HAQM EKS, HAQM SageMaker e AWS Lambda publicam suas imagens oficiais de contêiner de uso público e artefatos no HAQM ECR.
O HAQM ECR funciona com o HAQM ECS?
Sim. O HAQM ECR é integrado ao HAQM ECS, o que permite que você armazene, execute e gerencie facilmente imagens de contêiner para aplicações em execução no HAQM ECS. Basta especificar o repositório do HAQM ECR na sua definição de tarefas que o HAQM ECS recuperará as imagens apropriadas para as suas aplicações.
O HAQM ECR funciona com o AWS Elastic Beanstalk?
Sim. O AWS Elastic Beanstalk é compatível com o HAQM ECR para ambientes de docker de contêiner único e vários contêineres, o que permite implantar facilmente imagens de contêiner armazenadas no HAQM ECR com o AWS Elastic Beanstalk. Tudo o que você precisa fazer é especificar o repositório do HAQM ECR na sua configuração do Dockerrun.aws.json e conectar a política HAQMEC2ContainerRegistryReadOnly à sua função de instância de contêiner.
Qual versão do Docker Engine o HAQM ECR suporta?
O HAQM ECR suporta, no momento, o Docker Engine 1.7.0 e posteriores.
Qual versão da API do Docker Registry o HAQM ECR suporta?
O HAQM ECR suporta a especificação de API do Docker Registry V2.
O HAQM ECR cria automaticamente as imagens de um Dockerfile?
Não, no entanto, o HAQM ECR integra-se com várias soluções populares de CI/CD para fornecer esse recurso. Consulte a página Parceiros do HAQM ECR para obter mais informações.
O HAQM ECR suporta acesso federado?
Sim. O HAQM ECR está integrado ao AWS Identity and Access Management (IAM), que suporta a federação de identidades para acesso delegado para o Console de Gerenciamento da AWS ou as APIs da AWS.
Qual versão da especificação Docker Image Manifest é compatível com o HAQM ECR?
O HAQM ECR é compatível com o formato Docker Image Manifest V2, Schema 2. Para manter a retrocompatibilidade com imagens do Schema 1, o HAQM ECR continuará a aceitar imagens carregadas no formato Schema 1. Além disso, o HAQM ECR pode reconverter uma imagem do Schema 2 para o Schema 1 ao extraí-la usando uma versão mais antiga do Docker Engine (versão 1.9 e outras inferiores).
O HAQM ECR é compatível com o formato Open Container Initiative (OCI)?
Sim. O HAQM ECR é compatível com a especificação de imagem Open Container Initiative (OCI), o que permite enviar e extrair imagens e artefatos do tipo OCI. O HAQM ECR também pode fazer a conversão entre imagens do Docker Image Manifest V2, Schema 2 e imagens do tipo OCI durante a extração.
Segurança
Abrir tudoComo o HAQM ECR ajuda a garantir que as imagens do contêiner estejam seguras?
O HAQM ECR criptografa automaticamente imagens em repouso usando criptografia no lado do servidor do HAQM S3 ou criptografia do AWS KMS e transfere suas imagens de contêiner por HTTPS. Você pode configurar políticas para gerenciar permissões e controlar o acesso às suas imagens utilizando usuários e funções do AWS Identity and Access Management (IAM) sem precisar gerenciar credenciais diretamente nas suas instâncias do EC2.
Como uso o AWS Identity and Access Management (IAM) para as permissões?
Você pode usar as políticas de recursos do IAM para controlar e monitorar quem e o que (por exemplo, instâncias do EC2) pode acessar suas imagens no contêiner, e também como, quando e onde eles podem conseguir acessá-las. Para começar a usar, use o Console de Gerenciamento da AWS para criar políticas baseadas em recursos para seus repositórios. Alternativamente, você pode usar políticas de exemplo e anexá-las aos seus repositórios através da CLI do HAQM ECR.
Posso compartilhar minhas imagens em contas da AWS?
Sim. Aqui está um exemplo de como criar e configurar uma política para compartilhamento de imagens entre contas.
O HAQM ECR verifica se há vulnerabilidades nas imagens de contêiner?
Você pode habilitar o HAQM ECR pode verificar automaticamente a presença de uma ampla gama de vulnerabilidades do sistema operacional em suas imagens de contêiner. Também é possível verificar imagens usando um comando de API e o HAQM ECR notificará que uma verificação foi concluída tanto na API como no console. Para realizar verificações aprimoradas de imagens, ative o HAQM Inspector.