Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Realizar solicitudes a los registros de Amazon ECR
Puede insertar, extraer, eliminar, ver y administrar imágenes de OCI, imágenes de Docker y artefactos compatibles con OCI en los registros privados de Amazon ECR mediante puntos de enlace IPv4 exclusivos o puntos de enlace de doble pila (y). IPv4 IPv6 Para realizar solicitudes desde redes, puede utilizar una pila doble o puntos de enlace IPv4 . IPv4 Para realizar solicitudes desde una IPv6 red, utilice un punto final de doble pila. Para obtener más información sobre cómo realizar solicitudes a los registros públicos de Amazon ECR mediante IPv4 puntos de enlace de doble pila, consulte Realizar solicitudes a registros públicos de Amazon ECR. El acceso a Amazon ECR a través IPv6 de Amazon ECR no conlleva cargos adicionales. Para obtener más información sobre los precios, consulte los precios de Amazon Elastic Container Registry
nota
Amazon ECR no admite el AWS PrivateLink tráfico a través de puntos de enlace de doble pila. Si necesita asistencia, debe utilizar IPv4 únicamente puntos de enlace de Amazon ECR. AWS PrivateLink
Los puntos de enlace de Amazon ECR se designan mediante atributos que van más allá de la compatibilidad con puntos IPv4 de enlace exclusivos o de doble pila. Estos atributos pueden incluir:
-
Región: cada punto final es específico de una región.
-
Tipo: la selección del punto final depende de si utiliza el AWS SDK o las interfaces de línea de comandos de Docker o compatibles con OCI.
-
Seguridad: en determinadas regiones, Amazon ECR ofrece puntos de enlace compatibles con FIPS. Para obtener más información sobre una lista de puntos de enlace Amazon ECR que cumplen con FIPS, consulte la Norma Federal de Procesamiento de Información (
FIPS) 140-3.
Cómo empezar a realizar solicitudes IPv6
Para realizar una solicitud a un registro de Amazon ECR IPv6, debe utilizar un punto de conexión de doble pila. Antes de acceder a un registro de Amazon ECR IPv6, compruebe los siguientes requisitos:
-
Su cliente y su red deben ser compatibles IPv6.
-
Amazon ECR admite los siguientes tipos de solicitudes: IPv6
-
Solicitudes de clientes de OCI y Docker:
<registry-id>
.dkr-ecr.<aws-region>
.on.aws -
AWS Solicitudes de API:
ecr.
<aws-region>
.api.aws
-
-
Debe actualizar todas las políticas AWS Identity and Access Management (de IAM) o de registro que utilicen el filtrado de direcciones IP de origen para incluir los intervalos de IPv6 direcciones. Para obtener más información, consulte Uso de IPv6 direcciones en las políticas de IAM.
-
Cuando lo usa IPv6, los registros de acceso al servidor muestran
Remote IP
las direcciones en IPv6 formato. Actualice las herramientas, los scripts y el software existentes para analizar estas direcciones IP IPv6 con formato.nota
Si tiene problemas relacionados con la presencia de IPv6 direcciones en los archivos de registro, póngase en contacto con nosotros. AWS Support
Probar la compatibilidad de dirección IP
Si utiliza Linux/Unix o Mac OS X, puede comprobar si puede acceder a un punto final de doble pila IPv6 mediante el curl
comando que se muestra en el siguiente ejemplo:
curl --verbose https://ecr.us-west-2.api.aws
Usted obtiene información similar a la del siguiente ejemplo. Si está conectado a través de IPv6 la dirección IP conectada, será una dirección. IPv6
* About to connect() to ecr.us-west-2.api.aws port 443 (#0) * Trying IPv6 address... connected * Connected to ecr.us-west-2.api.aws (IPv6 address) port 443 (#0) > Host: ecr.us-west-2.api.aws * Request completely sent off
Si utiliza Microsoft Windows 7 o Windows 10, puede probar si puede acceder a un punto final de doble pila a través IPv4 o IPv6 mediante el ping
comando que se muestra en el siguiente ejemplo.
ping ecr.us-west-2.api.aws
Realización de solicitudes IPv6 mediante puntos de enlace de doble pila
Puede realizar llamadas a la API Amazon ECR IPv6 mediante puntos de enlace de doble pila. La funcionalidad y el rendimiento de las operaciones de la API de Amazon ECR se mantienen uniformes independientemente de si utiliza IPv4 o IPv6.
Cuando usa AWS Command Line Interface (AWS CLI) y AWS SDKs, puede habilitarlo IPv6 mediante un parámetro o indicador para cambiar a un punto final de doble pila, o especificando directamente el punto final de doble pila en su archivo de configuración para anular el punto de enlace predeterminado de Amazon ECR. También puede realizar cambios en la configuración mediante un comando, que se establece en true en use_dualstack_endpoint
el perfil predeterminado. Para obtener más informaciónuse_dualstack_endpoint
, consulte los puntos finales FIPS y de doble pila.
ejemplo Realizar cambios de configuración mediante un comando
aws configure set default.ecr.use_dualstack_endpoint true
ejemplo Hacer solicitudes en lugar de IPv6 usar AWS CLI
aws ecr describe-repositories --region us-west-2 --endpoint-url
https://ecr.us-west-2.api.aws
Uso de puntos de enlace de Amazon ECR desde la CLI de docker
Tras iniciar sesión en el repositorio de Amazon ECR y etiquetar la imagen, puede insertar y extraer imágenes de OCI e imágenes de Docker a los registros de Amazon ECR y extraerlos de ellos. Los siguientes ejemplos muestran los comandos docker push y docker pull con ambos puntos finales de doble pila.
ejemplo Empujar imágenes de docker mediante un punto final IPv4
docker push
<registry-id>
.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag
ejemplo Empujar imágenes de docker mediante un punto final de doble pila
docker push
<registry-id>
.dkr-ecr.us-west-1.on.aws/my-repository:tag
ejemplo Extracción de imágenes de docker mediante un punto final IPv4
docker pull
<registry-id>
.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag
ejemplo Extracción de imágenes de docker mediante un punto final de doble pila
docker pull
<registry-id>
.dkr-ecr.us-west-1.on.aws/my-repository:tag
Uso de IPv6 direcciones en las políticas de IAM
Antes de acceder a un registro mediante IPv6, asegúrese de que su usuario de IAM y las políticas de registro de Amazon ECR que utilizan el filtrado de direcciones IP incluyan intervalos de IPv6 direcciones. Si las políticas de filtrado de direcciones IP no se actualizan para gestionar IPv6 las direcciones, es posible que los clientes pierdan u obtengan acceso al registro de forma incorrecta al empezar a usarlo. IPv6 Para obtener más información acerca de cómo administrar los permisos de acceso con IAM, consulte Identity and Access Management para Amazon Elastic Container Registry.
Las políticas de IAM que filtran direcciones IP utilizan operadores de condición de dirección IP. El siguiente ejemplo de política de registro muestra cómo identificar el 54.240.143.*
rango de IPv4 direcciones permitidas mediante operadores de condición de direcciones IP. A las direcciones IP que se encuentren fuera de este rango se les deniega el acceso al registro (exampleregistry
). Como todas IPv6 las direcciones están fuera del rango permitido, esta política impide el acceso de IPv6 las direccionesexampleregistry
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "ecr:*", "Resource": "arn:aws:ecr:::
exampleregistry
/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"} } } ] }
Para permitir los rangos de direcciones IPv4 (54.240.143.0/24
) y IPv6 (2001:DB8:1234:5678::/64
), modifique el elemento Condition de la política de registro como se muestra en el siguiente ejemplo. Puede utilizar este formato de Condition
bloque para actualizar las políticas de registro y de usuario de IAM.
"Condition": { "IpAddress": { "aws:SourceIp": [ "54.240.143.0/24", "2001:DB8:1234:5678::/64" ] } }
importante
Antes de usarlo IPv6 , debe actualizar todas las políticas de registro y usuario de IAM pertinentes que utilizan el filtrado de direcciones IP. No recomendamos utilizar el filtrado de direcciones IP en las políticas de registro.
Puede revisar sus políticas de usuario de IAM en la consola de IAM en. https://console.aws.amazon.com/iam/