Часто задаваемые вопросы по HAQM Elastic Container Registry

Темы страниц

Общие вопросы
7
Using HAQM ECR
17
Безопасность
3

Общие вопросы

Открыть все

HAQM ECR – это полностью автоматизированный реестр контейнеров, который позволяет разработчикам легко развертывать образы контейнеров и артефакты, а также делиться ими. HAQM ECR интегрируется с сервисами HAQM Elastic Container Service (HAQM ECS)Эластичный сервис HAQM Kubernetes (HAQM EKS) и AWS Lambda, что упрощает процесс разработки и выпуска рабочих версий. При работе с сервисом HAQM ECR вам не придется самостоятельно управлять своими репозиториями контейнеров или заботиться о масштабировании базовой инфраструктуры. HAQM ECR размещает ваши образы в высокодоступной и масштабируемой архитектуре, обеспечивая надежное развертывание контейнеров для приложений. Интеграция с сервисом AWS Identity and Access Management (IAM) обеспечивает контроль каждого репозитория на уровне доступа к ресурсам, что позволяет делиться образами с коллегами и другими пользователями.

При работе с сервисом HAQM ECR вам не придется самостоятельно управлять инфраструктурой, в которой работает ваш реестр контейнеров, или заботиться о ее масштабировании. HAQM ECR использует для образов контейнеров хранилище HAQM Simple Storage Service (S3) с быстрым и стабильным доступом, что позволяет обеспечить надежное развертывание новых контейнеров для приложений. Сервис HAQM ECR передает образы контейнеров по протоколу HTTPS и обеспечивает их автоматическое шифрование при хранении. У пользователя есть возможность настроить политики управления разрешениями отдельно для каждого репозитория и предоставить ограниченный доступ для определенных пользователей или ролей IAM, а также других аккаунтов AWS. HAQM ECR интегрируется с сервисами HAQM ECS, HAQM EKS, AWS Fargate, AWS Lambda и интерфейсом командной строки Docker, что упрощает процессы разработки и выпуска рабочих версий. Вы можете легко отправить образы контейнеров с машины, на которой выполняли разработку, в HAQM ECR, используя интерфейс командной строки Docker, а оркестраторы или вычислительные среды HAQM извлекут их непосредственно для рабочего развертывания.

Работу с сервисом HAQM ECR можно начать без авансовых платежей или каких-либо обязательств. Вы платите только за объем данных, хранимых в публичных или частных репозиториях и передаваемых в Интернет. Дополнительную информацию о ценах см. здесь.

HAQM ECR – это региональный сервис, предназначенный для обеспечения гибкого развертывания образов. Для обеспечения наилучшей производительности вам предоставляется возможность отправлять образы в тот же регион AWS, в котором работает ваш кластер Docker, и извлекать их в пределах региона. Вы также можете получить доступ к HAQM ECR из любого места, где работает Docker, например с настольных компьютеров или из локальных сред. Обмен образами между регионами или в Интернете приведет к дополнительным задержкам и расходам на передачу данных.

Да. HAQM ECR имеет высокодоступный реестр контейнеров и веб-сайт, который упрощает публикацию контейнерного ПО и его поиск. Каждый желающий с аккаунтом AWS или без него может использовать Публичную галерею HAQM ECR для поиска и загрузки часто используемых образов контейнеров, например операционных систем, публикуемых AWS образов и файлов, таких как Схема Helm для Kubernetes.

Частный репозиторий не предлагает возможности поиска контента и, прежде чем разрешить извлечение образов, требует аутентификации на основе HAQM IAM с использованием аккаунта AWS. Общедоступный репозиторий имеет описательный контент и позволяет кому угодно извлекать образы без необходимости иметь аккаунт AWS или учетные данные IAM. Образы общедоступного репозитория также доступны в общедоступной галерее HAQM ECR.
 

В HAQM ECR можно использовать AWS CloudTrail для получения истории всех действий API, например информации о том, кто отправил образ, или когда были перемещены теги между образами. Администраторы также могут выяснить, какие образы были извлечены определенными инстансами EC2.

Using HAQM ECR

Открыть все

Для скорейшего начала работы с сервисом HAQM ECR воспользуйтесь интерфейсом командной строки Docker, чтобы отправить и извлечь свой первый образ. Дополнительные сведения см. на странице Начало работы.

Да. Теперь есть возможность настроить адреса AWS PrivateLink, чтобы инстансы могли извлекать образы из частных репозиториев, не передавая их через публичный Интернет.

Сервис HAQM ECR предоставляет интерфейс командной строки и API для создания, мониторинга и удаления репозиториев, а также настройки разрешений на доступ к ним. Эти же действия можно выполнять в консоли HAQM ECR, доступ к которой можно получить в разделе «Repositories» консоли HAQM ECR. Кроме того, HAQM ECR интегрирован с интерфейсом командной строки Docker, что позволяет отправлять и извлекать образы, а также назначать им теги с машины, используемой для разработки.

Войдя в свой аккаунт AWS, вы можете опубликовать образ в общедоступной галерее HAQM ECR, отправив его в созданный вами общедоступный репозиторий. Каждому аккаунту присваивается уникальный псевдоним для использования в URL-адресах образов, чтобы идентифицировать все публикуемые вами общедоступные образы.

Да. Вы можете присвоить собственный псевдоним, например название организации или проекта, если только этот псевдоним не зарезервирован. Имена, которые идентифицируют сервисы AWS, зарезервированы. Имена, идентифицирующие продавцов AWS Marketplace, также могут быть зарезервированы. Если ваш псевдоним не нарушает Политику приемлемого использования AWS или другие политики AWS, мы рассмотрим и утвердим ваш запрос в течение нескольких дней.

Образ можно извлечь, используя знакомую команду «docker pull» с URL-адресом образа. URL-адрес легко найти, выполнив поиск по псевдониму издателя, имени образа или его описанию в общедоступной галерее HAQM ECR. URL-адреса образов имеют такой формат: public.ecr.aws/<alias>/<image>:<tag> (например, public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5)

Да. Сервис HAQM ECR обеспечивает гибкость при выборе места хранения и способа развертывания образов. Вы можете создать конвейеры развертывания, которые будут создавать образы и отправлять их в сервис HAQM ECR в одном регионе, а сервис HAQM ECR будет автоматически реплицировать их в другие регионы и отвечать за развертывание в других кластерах.

Да. Вы можете получить доступ к HAQM ECR из любого места, где работает Docker, в том числе с настольных компьютеров или из локальных сред.

Да. Такие сервисы, как HAQM EKS, HAQM SageMaker и AWS Lambda, публикуют свои официальные образы контейнеров и артефакты для открытого пользования в HAQM ECR.  

Да. HAQM ECR интегрирован с HAQM ECS, что позволяет легко хранить и запускать образы контейнеров для работающих в HAQM ECS приложений, а также управлять ими. Вам необходимо лишь указать репозиторий HAQM ECR в определении задания, а HAQM ECS будет извлекать подходящие образы для ваших приложений.

Да. В настоящее время AWS Elastic Beanstalk поддерживает HAQM ECR как в одноконтейнерных, так и во многоконтейнерных средах Docker, позволяя легко развертывать в AWS Elastic Beanstalk образы контейнеров, хранящиеся в HAQM ECR. Вам нужно только указать репозиторий HAQM ECR в конфигурации Dockerrun.aws.json и прикрепить политику HAQMEC2ContainerRegistryReadOnly к роли инстанса контейнера.

HAQM ECR в настоящее время поддерживает Docker версии 1.7.0 и выше.

HAQM ECR поддерживает спецификацию API Docker Registry V2.

Нет. Однако HAQM ECR интегрируется с рядом популярных решений интеграции и непрерывной доставки контента для обеспечения этой возможности. Дополнительную информацию см. на странице партнеров по HAQM ECR.

Да. HAQM ECR интегрирован с сервисом Управления идентификацией и доступом AWS (AWS IAM), который поддерживает федерацию удостоверений для делегированного доступа к Консоли управления AWS или API AWS.

HAQM ECR поддерживает формат Docker Image Manifest V2 Schema 2. В целях обеспечения обратной совместимости с образами Schema 1 HAQM ECR продолжает принимать образы, загруженные в формате Schema 1. Кроме того, HAQM ECR может преобразовывать образы из формата Schema 2 в Schema 1 при извлечении образов с помощью более старой версии Docker Engine (1.9 и ниже).

Да. HAQM ECR совместим со спецификацией образов Open Container Initiative (OCI), что позволяет отправлять и извлекать образы OCI и артефакты. HAQM ECR также может при отправке преобразовать образы между форматами Docker Image Manifest V2, Schema 2 и OCI.

Безопасность

Открыть все

HAQM ECR автоматически шифрует образы при хранении, используя шифрование на стороне сервера HAQM S3 или шифрование AWS KMS, а также передает образы контейнеров по HTTPS. Вместо того чтобы управлять данными доступа непосредственно на своих инстансах EC2, можно настроить политики для управления разрешениями и контроля доступа к вашим образам, используя пользователей и роли AWS Identity and Access Management (IAM).

Политики IAM на основе ресурсов можно использовать для управления разрешениями и мониторинга того, кто и что (например, инстансы EC2) может получать доступ к вашим образам контейнеров, а также как, когда и где они могут получать к ним доступ. Чтобы начать работу, воспользуйтесь Консолью управления AWS для создания политик на уровне ресурсов для своих репозиториев. Кроме того, вы можете использовать образцы политик и прикрепить их к своим репозиториям с помощью интерфейса командной строки HAQM ECR.

Можно включить HAQM ECR для автоматической проверки образов контейнеров на наличие разных уязвимостей операционной системы. Можно также проверять образы с помощью команды API, при этом HAQM ECR уведомит вас посредством API и консоли о завершении проверки. Чтобы улучшить проверку образа, можно включить HAQM Inspector.