Synchronisieren Sie eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung - Amazon ECR
Vorlagen zur Erstellung eines RepositorÜberlegungen zur Verwendung von Pull-Through-Cache-Regeln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Synchronisieren Sie eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung

Mithilfe von Pull-Through-Cache-Regeln können Sie den Inhalt einer Upstream-Registrierung mit Ihrer privaten Amazon ECR-Registrierung synchronisieren.

Amazon ECR unterstützt derzeit die Erstellung von Pull-Through-Cache-Regeln für die folgenden Upstream-Registries:

  • Amazon ECR Public, Kubernetes Container Image Registry und Quay (erfordert keine Authentifizierung)

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry und GitLab Container Registry (erfordert AWS Secrets Manager geheime Authentifizierung)

  • Amazon ECR (erfordert Authentifizierung mit AWS IAM-Rolle)

Für GitLab Container Registry unterstützt Amazon ECR den Pull-Through-Cache nur mit dem SaaS-Angebot (Software GitLab as a Service). Weitere Informationen zur Nutzung GitLab des SaaS-Angebots finden Sie unter GitLab.com.

Bei Upstream-Registrierungen, die eine Authentifizierung mit Geheimnissen erfordern (wie Docker Hub), müssen Sie Ihre Anmeldeinformationen geheim speichern. AWS Secrets Manager Sie können die Amazon ECR-Konsole verwenden, um Secrets Manager für jede authentifizierte Upstream-Registrierung zu erstellen. Weitere Informationen zum Erstellen eines Secrets Manager Manager-Geheimnisses mit der Secrets Manager-Konsole finden Sie unterSpeichern Sie Ihre Upstream-Repository-Anmeldeinformationen AWS Secrets Manager geheim.

Für Amazon ECR müssen Sie eine IAM-Rolle erstellen, wenn die Amazon ECR-Upstream- und Downstream-Registers zu unterschiedlichen Konten gehören. AWS Weitere Informationen zum Erstellen einer IAM-Rolle finden Sie unter IAM-Richtlinien sind für den kontenübergreifenden ECR-zu-ECR-Pull-Through-Cache erforderlich.

Nachdem Sie eine Pull-Through-Cache-Regel für die Upstream-Registrierung erstellt haben, rufen Sie mithilfe Ihrer privaten Amazon ECR-Registry-URI ein Bild aus dieser Upstream-Registrierung ab. Amazon ECR erstellt dann ein Repository und zwischenspeichert dieses Image in Ihrer privaten Registrierung. Bei nachfolgenden Pull-Requests des zwischengespeicherten Images mit einem bestimmten Tag sucht Amazon ECR in der Upstream-Registrierung nach einer neuen Version des Images mit diesem spezifischen Tag und versucht, das Image in Ihrer privaten Registrierung mindestens einmal alle 24 Stunden zu aktualisieren.

Vorlagen zur Erstellung eines Repositor

Amazon ECR hat Unterstützung für Vorlagen zur Erstellung von Repositorys hinzugefügt, sodass Sie mithilfe von Pull-Through-Cache-Regeln die Anfangskonfigurationen für neue Repositorys festlegen können, die von Amazon ECR in Ihrem Namen erstellt wurden. Jede Vorlage enthält ein Präfix für den Repository-Namespace, das verwendet wird, um neue Repositorys einer bestimmten Vorlage zuzuordnen. In Vorlagen kann die Konfiguration für alle Repository-Einstellungen festgelegt werden, einschließlich ressourcenbasierter Zugriffsrichtlinien, Unveränderlichkeit von Tags, Verschlüsselung und Lebenszyklusrichtlinien. Die Einstellungen in einer Repository-Erstellungsvorlage werden nur bei der Repository-Erstellung angewendet und haben keine Auswirkung auf bestehende Repositorys oder Repositorys, die mit einer anderen Methode erstellt wurden. Weitere Informationen finden Sie unter Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache- oder Replikationsaktion erstellt wurden.

Überlegungen zur Verwendung von Pull-Through-Cache-Regeln

Beachten Sie Folgendes, wenn Sie Amazon ECR Pull-Through-Cache-Regeln verwenden.

  • Die Erstellung von Pull-Through-Cache-Regeln wird in den folgenden Regionen nicht unterstützt.

    • China (Peking) (cn-north-1)

    • China (Ningxia) (cn-northwest-1)

    • AWS GovCloud (US-Ost) () us-gov-east-1

    • AWS GovCloud (US-West) () us-gov-west-1

  • AWS Lambda unterstützt das Abrufen von Container-Images aus Amazon ECR mithilfe einer Pull-Through-Cache-Regel nicht.

  • Beim Abrufen von Images mit dem Pull-Through-Cache werden die Amazon-ECR-FIPS-Service-Endpunkte beim ersten Abrufen eines Images nicht unterstützt. Die Verwendung der Amazon-ECR-FIPS-Service-Endpunkte funktioniert jedoch bei nachfolgenden Abrufen.

  • Wenn ein zwischengespeichertes Bild über die private Registrierungs-URI von Amazon ECR abgerufen wird, werden die Image-Pulls durch AWS IP-Adressen initiiert. Dadurch wird sichergestellt, dass der Image-Abruf nicht auf die von der Upstream-Registrierung implementierten Abruf-Ratenkontingente angerechnet wird.

  • Wenn ein zwischengespeichertes Image durch die URI der privaten Registrierung von Amazon ECR abgerufen wird, überprüft Amazon ECR das Upstream-Repository mindestens einmal alle 24 Stunden, um sicherzustellen, dass das zwischengespeicherte Image die neueste Version ist. Wenn sich in der Upstream-Registrierung ein neueres Image befindet, versucht Amazon ECR, das zwischengespeicherte Image zu aktualisieren. Dieser Timer basiert auf dem letzten Abruf des zwischengespeicherten Images.

  • Wenn Amazon ECR das Image aus der Upstream-Registrierung aus irgendeinem Grund nicht aktualisieren kann und das Image abgerufen wird, wird trotzdem das letzte zwischengespeicherte Image abgerufen.

  • Bei der Erstellung des Secrets-Manager-Secrets, das die Anmeldeinformationen für die Upstream-Registrierung enthält, muss der geheime Name das Präfix ecr-pullthroughcache/ verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.

  • Wenn ein Image mit mehreren Architekturen mithilfe einer Pull-Through-Cache-Regel abgerufen wird, werden die Manifestliste und jedes in der Manifestliste referenzierte Image in das Amazon-ECR-Repository abgerufen. Wenn Sie nur eine bestimmte Architektur abrufen möchten, können Sie das Image mithilfe des mit der Architektur verknüpften Image-Digests oder -Tags anstelle des mit der Manifestliste verknüpften Tags abrufen.

  • Amazon ECR verwendet eine serviceverknüpfte IAM-Rolle, die die Berechtigungen bereitstellt, die Amazon ECR benötigt, um das Repository für Sie zu erstellen, den Wert des Secrets-Manager-Secrets für die Authentifizierung abzurufen und das zwischengespeicherte Image in Ihrem Namen zu übertragen. Die serviceverknüpfte IAM-Rolle wird beim Erstellen einer Pull-Through-Cache-Regel erstellt. Weitere Informationen finden Sie unter Serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache.

  • Standardmäßig verfügen der IAM-Prinzipal, der das zwischengespeicherte Image abruft, über die Berechtigungen, die ihnen durch ihre IAM-Richtlinie erteilt wurde. Sie können die Berechtigungsrichtlinie für die private Registrierung von Amazon ECR verwenden, um die Berechtigungen einer IAM-Entität weiter einzugrenzen. Weitere Informationen finden Sie unter Verwenden von Registrierungsberechtigungen.

  • Amazon-ECR-Repositorys, die mit dem Pull-Through-Cache-Workflow erstellt wurden, werden wie jedes andere Amazon-ECR-Repository behandelt. Alle Repository-Features wie Replikation und Image-Scan werden unterstützt.

  • Wenn Amazon ECR in Ihrem Namen mithilfe einer Pull-Through-Cache-Aktion ein neues Repository erstellt, werden die folgenden Standardeinstellungen auf das Repository angewendet, sofern es keine passende Repository-Erstellungsvorlage gibt. Sie können eine Repository-Erstellungsvorlage verwenden, um die Einstellungen zu definieren, die auf Repositorys angewendet werden, die von Amazon ECR in Ihrem Namen erstellt wurden. Weitere Informationen finden Sie unter Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache- oder Replikationsaktion erstellt wurden.

    • Unveränderlichkeit von Tags — Diese Option ist deaktiviert. Tags sind veränderbar und können überschrieben werden.

    • Verschlüsselung — Die AES256 Standardverschlüsselung wird verwendet.

    • Repository-Berechtigungen — Ausgelassen, es wird keine Repository-Berechtigungsrichtlinie angewendet.

    • Lifecycle-Richtlinie — Ausgelassen, es wird keine Lebenszyklus-Richtlinie angewendet.

    • Ressourcen-Tags — Ausgelassen, es werden keine Ressourcen-Tags angewendet.

  • Wenn Sie die Unveränderlichkeit von Image-Tags für Repositorys aktivieren, die eine Pull-Through-Cache-Regel verwenden, wird Amazon ECR daran gehindert, Images zu aktualisieren, die dasselbe Tag verwenden.

  • Wenn ein Bild zum ersten Mal mithilfe der Pull-Through-Cache-Regel abgerufen wird, ist möglicherweise eine Route zum Internet erforderlich. Unter bestimmten Umständen ist eine Route zum Internet erforderlich. Es empfiehlt sich daher, eine Route einzurichten, um Ausfälle zu vermeiden. Wenn Sie also Amazon ECR so konfiguriert haben, dass ein VPC-Endpunkt eine Schnittstelle verwendet, AWS PrivateLink müssen Sie sicherstellen, dass der erste Pull eine Route zum Internet hat. Eine Möglichkeit, dies zu tun, besteht darin, in derselben VPC ein öffentliches Subnetz mit einem Internet-Gateway zu erstellen und dann den gesamten ausgehenden Datenverkehr von ihrem privaten Subnetz zum öffentlichen Subnetz ins Internet weiterzuleiten. Nachfolgende Image-Pulls unter Verwendung der Pull-Through-Cache-Regel erfordern dies nicht. Weitere Informationen finden Sie unter Beispiel für Routing-Optionen im Benutzerhandbuch von Amazon Virtual Private Cloud.