- Контейнеры›
- Эластичный реестр контейнеров›
- Вопросы и ответы
Часто задаваемые вопросы по Amazon Elastic Container Registry
Общие вопросы
Что такое Эластичный реестр контейнеров Amazon (Amazon ECR)?
Amazon ECR – это полностью автоматизированный реестр контейнеров, который позволяет разработчикам легко развертывать образы контейнеров и артефакты, а также делиться ими. Amazon ECR интегрируется с сервисами Amazon Elastic Container Service (Amazon ECS), Эластичный сервис Amazon Kubernetes (Amazon EKS) и AWS Lambda, что упрощает процесс разработки и выпуска рабочих версий. При работе с сервисом Amazon ECR вам не придется самостоятельно управлять своими репозиториями контейнеров или заботиться о масштабировании базовой инфраструктуры. Amazon ECR размещает ваши образы в высокодоступной и масштабируемой архитектуре, обеспечивая надежное развертывание контейнеров для приложений. Интеграция с сервисом AWS Identity and Access Management (IAM) обеспечивает контроль каждого репозитория на уровне доступа к ресурсам, что позволяет делиться образами с коллегами и другими пользователями.
Каковы преимущества Amazon ECR?
При работе с сервисом Amazon ECR вам не придется самостоятельно управлять инфраструктурой, в которой работает ваш реестр контейнеров, или заботиться о ее масштабировании. Amazon ECR использует для образов контейнеров хранилище Amazon Simple Storage Service (S3) с быстрым и стабильным доступом, что позволяет обеспечить надежное развертывание новых контейнеров для приложений. Сервис Amazon ECR передает образы контейнеров по протоколу HTTPS и обеспечивает их автоматическое шифрование при хранении. У пользователя есть возможность настроить политики управления разрешениями отдельно для каждого репозитория и предоставить ограниченный доступ для определенных пользователей или ролей IAM, а также других аккаунтов AWS. Amazon ECR интегрируется с сервисами Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda и интерфейсом командной строки Docker, что упрощает процессы разработки и выпуска рабочих версий. Вы можете легко отправить образы контейнеров с машины, на которой выполняли разработку, в Amazon ECR, используя интерфейс командной строки Docker, а оркестраторы или вычислительные среды Amazon извлекут их непосредственно для рабочего развертывания.
Какие цены установлены на Amazon ECR?
Работу с сервисом Amazon ECR можно начать без авансовых платежей или каких-либо обязательств. Вы платите только за объем данных, хранимых в публичных или частных репозиториях и передаваемых в Интернет. Дополнительную информацию о ценах см. здесь.
Сервис Amazon ECR предоставляется по всему миру?
Amazon ECR – это региональный сервис, предназначенный для обеспечения гибкого развертывания образов. Для обеспечения наилучшей производительности вам предоставляется возможность отправлять образы в тот же регион AWS, в котором работает ваш кластер Docker, и извлекать их в пределах региона. Вы также можете получить доступ к Amazon ECR из любого места, где работает Docker, например с настольных компьютеров или из локальных сред. Обмен образами между регионами или в Интернете приведет к дополнительным задержкам и расходам на передачу данных.
Можно ли использовать Amazon ECR для размещения публичных образов контейнеров?
Да. Amazon ECR имеет высокодоступный реестр контейнеров и веб-сайт, который упрощает публикацию контейнерного ПО и его поиск. Каждый желающий с аккаунтом AWS или без него может использовать Публичную галерею Amazon ECR для поиска и загрузки часто используемых образов контейнеров, например операционных систем, публикуемых AWS образов и файлов, таких как Схема Helm для Kubernetes.
В чем разница между общедоступными и частными репозиториями Amazon ECR?
Частный репозиторий не предлагает возможности поиска контента и, прежде чем разрешить извлечение образов, требует аутентификации на основе Amazon IAM с использованием аккаунта AWS. Общедоступный репозиторий имеет описательный контент и позволяет кому угодно извлекать образы без необходимости иметь аккаунт AWS или учетные данные IAM. Образы общедоступного репозитория также доступны в общедоступной галерее Amazon ECR.
Какие возможности обеспечения соответствия требованиям доступны в Amazon ECR?
В Amazon ECR можно использовать AWS CloudTrail для получения истории всех действий API, например информации о том, кто отправил образ, или когда были перемещены теги между образами. Администраторы также могут выяснить, какие образы были извлечены определенными инстансами EC2.
Using Amazon ECR
Как начать работу с Amazon ECR?
Для скорейшего начала работы с сервисом Amazon ECR воспользуйтесь интерфейсом командной строки Docker, чтобы отправить и извлечь свой первый образ. Дополнительные сведения см. на странице Начало работы.
Можно ли получить доступ к Amazon ECR в облаке VPC?
Да. Теперь есть возможность настроить адреса AWS PrivateLink, чтобы инстансы могли извлекать образы из частных репозиториев, не передавая их через публичный Интернет.
Как лучше всего управлять репозиториями и образами?
Сервис Amazon ECR предоставляет интерфейс командной строки и API для создания, мониторинга и удаления репозиториев, а также настройки разрешений на доступ к ним. Эти же действия можно выполнять в консоли Amazon ECR, доступ к которой можно получить в разделе «Repositories» консоли Amazon ECR. Кроме того, Amazon ECR интегрирован с интерфейсом командной строки Docker, что позволяет отправлять и извлекать образы, а также назначать им теги с машины, используемой для разработки.
Как предоставить общий доступ к образу, используя Amazon ECR?
Войдя в свой аккаунт AWS, вы можете опубликовать образ в общедоступной галерее Amazon ECR, отправив его в созданный вами общедоступный репозиторий. Каждому аккаунту присваивается уникальный псевдоним для использования в URL-адресах образов, чтобы идентифицировать все публикуемые вами общедоступные образы.
Можно ли использовать собственный псевдоним для общедоступных образов?
Да. Вы можете присвоить собственный псевдоним, например название организации или проекта, если только этот псевдоним не зарезервирован. Имена, которые идентифицируют сервисы AWS, зарезервированы. Имена, идентифицирующие продавцов AWS Marketplace, также могут быть зарезервированы. Если ваш псевдоним не нарушает Политику приемлемого использования AWS или другие политики AWS, мы рассмотрим и утвердим ваш запрос в течение нескольких дней.
Как извлечь общедоступный образ из Amazon ECR?
Образ можно извлечь, используя знакомую команду «docker pull» с URL-адресом образа. URL-адрес легко найти, выполнив поиск по псевдониму издателя, имени образа или его описанию в общедоступной галерее Amazon ECR. URL-адреса образов имеют такой формат: public.ecr.aws/<alias>/<image>:<tag> (например, public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5)
Обеспечивает ли сервис Amazon ECR репликацию образов в разных Регионах AWS?
Да. Сервис Amazon ECR обеспечивает гибкость при выборе места хранения и способа развертывания образов. Вы можете создать конвейеры развертывания, которые будут создавать образы и отправлять их в сервис Amazon ECR в одном регионе, а сервис Amazon ECR будет автоматически реплицировать их в другие регионы и отвечать за развертывание в других кластерах.
Можно ли использовать Amazon ECR в локальной среде?
Да. Вы можете получить доступ к Amazon ECR из любого места, где работает Docker, в том числе с настольных компьютеров или из локальных сред.
Есть ли в общедоступной галерее Amazon ECR образы, публикуемые AWS?
Да. Такие сервисы, как Amazon EKS, Amazon SageMaker и AWS Lambda, публикуют свои официальные образы контейнеров и артефакты для открытого пользования в Amazon ECR.
Работает ли Amazon ECR с Amazon ECS?
Да. Amazon ECR интегрирован с Amazon ECS, что позволяет легко хранить и запускать образы контейнеров для работающих в Amazon ECS приложений, а также управлять ими. Вам необходимо лишь указать репозиторий Amazon ECR в определении задания, а Amazon ECS будет извлекать подходящие образы для ваших приложений.
Работает ли Amazon ECR с AWS Elastic Beanstalk?
Да. В настоящее время AWS Elastic Beanstalk поддерживает Amazon ECR как в одноконтейнерных, так и во многоконтейнерных средах Docker, позволяя легко развертывать в AWS Elastic Beanstalk образы контейнеров, хранящиеся в Amazon ECR. Вам нужно только указать репозиторий Amazon ECR в конфигурации Dockerrun.aws.json и прикрепить политику AmazonEC2ContainerRegistryReadOnly к роли инстанса контейнера.
Какую версию движка Docker поддерживает Amazon ECR?
Amazon ECR в настоящее время поддерживает Docker версии 1.7.0 и выше.
Какую версию реестра API Docker поддерживает Amazon ECR?
Amazon ECR поддерживает спецификацию API Docker Registry V2.
Будет ли Amazon ECR автоматически создавать образы из Dockerfile?
Нет. Однако Amazon ECR интегрируется с рядом популярных решений интеграции и непрерывной доставки контента для обеспечения этой возможности. Дополнительную информацию см. на странице партнеров по Amazon ECR.
Поддерживает ли Amazon ECR федеративный доступ?
Да. Amazon ECR интегрирован с сервисом Управления идентификацией и доступом AWS (AWS IAM), который поддерживает федерацию удостоверений для делегированного доступа к Консоли управления AWS или API AWS.
Какую версию спецификации манифеста образов Docker поддерживает Amazon ECR?
Amazon ECR поддерживает формат Docker Image Manifest V2 Schema 2. В целях обеспечения обратной совместимости с образами Schema 1 Amazon ECR продолжает принимать образы, загруженные в формате Schema 1. Кроме того, Amazon ECR может преобразовывать образы из формата Schema 2 в Schema 1 при извлечении образов с помощью более старой версии Docker Engine (1.9 и ниже).
Поддерживает ли Amazon ECR формат Open Container Initiative (OCI)?
Да. Amazon ECR совместим со спецификацией образов Open Container Initiative (OCI), что позволяет отправлять и извлекать образы OCI и артефакты. Amazon ECR также может при отправке преобразовать образы между форматами Docker Image Manifest V2, Schema 2 и OCI.
Безопасность
Как Amazon ECR помогает обеспечить безопасность образов контейнеров?
Amazon ECR автоматически шифрует образы при хранении, используя шифрование на стороне сервера Amazon S3 или шифрование AWS KMS, а также передает образы контейнеров по HTTPS. Вместо того чтобы управлять данными доступа непосредственно на своих инстансах EC2, можно настроить политики для управления разрешениями и контроля доступа к вашим образам, используя пользователей и роли AWS Identity and Access Management (IAM).
Как использовать Управление идентификацией и доступом AWS (AWS IAM) для настройки разрешений?
Политики IAM на основе ресурсов можно использовать для управления разрешениями и мониторинга того, кто и что (например, инстансы EC2) может получать доступ к вашим образам контейнеров, а также как, когда и где они могут получать к ним доступ. Чтобы начать работу, воспользуйтесь Консолью управления AWS для создания политик на уровне ресурсов для своих репозиториев. Кроме того, вы можете использовать образцы политик и прикрепить их к своим репозиториям с помощью интерфейса командной строки Amazon ECR.
Проверяет ли Amazon ECR образы контейнеров на наличие уязвимостей?
Можно включить Amazon ECR для автоматической проверки образов контейнеров на наличие разных уязвимостей операционной системы. Можно также проверять образы с помощью команды API, при этом Amazon ECR уведомит вас посредством API и консоли о завершении проверки. Чтобы улучшить проверку образа, можно включить Amazon Inspector.