Synchroniser un registre en amont avec un registre privé Amazon ECR - Amazon ECR
Modèles de création de référentielsConsidérations relatives à l'utilisation des règles du cache d'extraction

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Synchroniser un registre en amont avec un registre privé Amazon ECR

À l'aide des règles de cache d'extraction, vous pouvez synchroniser le contenu d'un registre en amont avec votre registre privé Amazon ECR.

Amazon ECR prend actuellement en charge la création de règles de cache d'extraction pour les registres en amont suivants :

  • Amazon ECR Public, registre d'images de conteneurs Kubernetes et Quay (aucune authentification n'est requise)

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry et GitLab Container Registry (nécessite une authentification AWS Secrets Manager secrète)

  • Amazon ECR (nécessite une authentification avec le rôle AWS IAM)

Pour GitLab Container Registry, Amazon ECR prend en charge l'extraction du cache uniquement avec GitLab l'offre Software as a Service (SaaS). Pour plus d'informations sur l'utilisation GitLab de l'offre SaaS, rendez-vous sur GitLab.com.

Pour les registres en amont qui nécessitent une authentification par secret (comme Docker Hub), vous devez stocker vos informations d'identification dans un AWS Secrets Manager secret. Vous pouvez utiliser la console Amazon ECR pour créer des secrets Secrets Manager pour chaque registre en amont authentifié. Pour plus d'informations sur la création d'un secret Secrets Manager à l'aide de la console Secrets Manager, consultezStockage AWS Secrets Manager secret des informations d'identification de votre référentiel en amont.

Pour Amazon ECR, vous devez créer un rôle IAM si les registres Amazon ECR en amont et en aval appartiennent à un compte différent. AWS Pour plus d'informations sur la création d'un rôle IAM, consultez Politiques IAM requises pour que l'ECR entre comptes puisse extraire le cache de l'ECR.

Après avoir créé une règle de cache d'extraction pour le registre en amont, extrayez une image de ce registre en amont à l'aide de l'URI de votre registre privé Amazon ECR. Amazon ECR crée ensuite un référentiel et met cette image en cache dans votre registre privé. Pour les demandes d'extraction ultérieures de l'image mise en cache avec une balise donnée, Amazon ECR vérifie dans le registre en amont la présence d'une nouvelle version de l'image avec cette balise spécifique et tente de mettre à jour l'image dans votre registre privé au moins une fois toutes les 24 heures.

Modèles de création de référentiels

Amazon ECR a ajouté la prise en charge des modèles de création de référentiels, ce qui vous permet de définir les configurations initiales pour les nouveaux référentiels créés par Amazon ECR en votre nom à l'aide de règles de cache d'extraction. Chaque modèle contient un préfixe d'espace de noms de référentiel qui est utilisé pour faire correspondre les nouveaux référentiels à un modèle spécifique. Les modèles peuvent spécifier la configuration de tous les paramètres du référentiel, y compris les politiques d'accès basées sur les ressources, l'immuabilité des balises, le chiffrement et les politiques de cycle de vie. Les paramètres d'un modèle de création de référentiel ne sont appliqués que lors de la création du référentiel et n'ont aucun effet sur les référentiels existants ou les référentiels créés à l'aide d'une autre méthode. Pour de plus amples informations, veuillez consulter Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication.

Considérations relatives à l'utilisation des règles du cache d'extraction

Tenez compte des points suivants lorsque vous utilisez les règles de cache d'extraction d'Amazon ECR.

  • La création de règles de mise en cache par extraction n'est pas prise en charge dans les régions suivantes.

    • Chine (Beijing) (cn-north-1)

    • Chine (Ningxia) (cn-northwest-1)

    • AWS GovCloud (USA Est) (us-gov-east-1)

    • AWS GovCloud (US-Ouest) (us-gov-west-1)

  • AWS Lambda ne prend pas en charge l'extraction d'images de conteneurs depuis Amazon ECR à l'aide d'une règle de cache d'extraction.

  • Lors de l'extraction d'images à l'aide de la mise en cache par extraction, les points de terminaison de service FIPS d'Amazon ECR ne sont pas pris en charge la première fois qu'une image est extraite. L'utilisation des points de terminaison de service FIPS d'Amazon ECR fonctionne cependant pour les extractions suivantes.

  • Lorsqu'une image mise en cache est extraite via l'URI du registre privé Amazon ECR, les extractions d'image sont initiées par des AWS adresses IP. Cela garantit que l'extraction de l'image n'est pas comptabilisée dans les quotas de taux d'extraction implémenté par le registre en amont.

  • Lorsqu'une image mise en cache est extraite via l'URI du registre privé Amazon ECR, Amazon ECR vérifie le référentiel en amont au moins une fois toutes les 24 heures afin de s'assurer que l'image mise en cache est la dernière version. S'il existe une image plus récente dans le registre en amont, Amazon ECR tente de mettre à jour l'image mise en cache. Ce délai est basé sur la dernière extraction de l'image mise en cache.

  • Si Amazon ECR ne peut pas mettre à jour l'image depuis le registre en amont pour une raison quelconque et que l'image est extraite, la dernière image mise en cache sera quand même extraite.

  • Lors de la création du secret Secrets Manager qui contient les informations d'identification du registre en amont, le nom du secret doit utiliser le préfixe ecr-pullthroughcache/. Le secret doit également se trouver dans le même compte et dans la même région que ceux dans lesquels est créée la règle de mise en cache par extraction.

  • Lorsqu'une image multi-architecture est extraite à l'aide d'une règle mise en cache par extraction, la liste de manifestes et chaque image référencée dans la liste de manifestes sont extraites vers le référentiel Amazon ECR. Si vous ne souhaitez extraire qu'une architecture spécifique, vous pouvez extraire l'image en utilisant le résumé d'image ou l'identification associée à l'architecture plutôt que l'identification associée à la liste de manifestes.

  • Amazon ECR utilise un rôle IAM lié à un service, qui fournit les autorisations nécessaires à Amazon ECR pour créer le référentiel, récupérer la valeur du secret Secrets Manager pour l'authentification et transmettre l'image mise en cache en votre nom. Le rôle IAM lié à un service est créé automatiquement lorsqu'une règle de mise en cache par extraction est créée. Pour de plus amples informations, veuillez consulter Rôle lié à un service Amazon ECR pour la mise en cache par extraction.

  • Par défaut, l'utilisateur, le principal IAM qui extrait l'image mise en cache a les autorisations qui lui sont accordées par sa politique IAM. Vous pouvez utiliser la politique d'autorisations du registre privé Amazon ECR pour étendre les autorisations d'une entité IAM. Pour de plus amples informations, veuillez consulter Utilisation des autorisations de registre.

  • Les référentiels Amazon ECR créés à l'aide du flux de travail de mise en cache par extraction sont traités comme tout autre référentiel Amazon ECR. Toutes les fonctions du référentiel, telles que la réplication et l'analyse d'images, sont prises en charge.

  • Lorsqu'Amazon ECR crée un nouveau référentiel en votre nom à l'aide d'une action de mise en cache par extraction, les paramètres par défaut suivants sont appliqués au référentiel, sauf s'il existe un modèle de création de référentiel correspondant. Vous pouvez utiliser un modèle de création de référentiel pour définir les paramètres appliqués aux référentiels créés par Amazon ECR en votre nom. Pour de plus amples informations, veuillez consulter Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication.

    • Immuabilité des balises : désactivée, les balises sont modifiables et peuvent être remplacées.

    • Chiffrement — Le AES256 chiffrement par défaut est utilisé.

    • Autorisations de dépôt : omises, aucune politique d'autorisation de dépôt n'est appliquée.

    • Politique de cycle de vie : omise, aucune politique de cycle de vie n'est appliquée.

    • Balises de ressource : omises, aucune balise de ressource n'est appliquée.

  • L'activation de l'immuabilité des balises d'image pour des référentiels à l'aide d'une règle de mise en cache par extraction empêchera Amazon ECR de mettre à jour les images à l'aide de la même balise.

  • Lorsqu'une image est extraite à l'aide de la règle du cache d'extraction pour la première fois, un itinéraire vers Internet peut être nécessaire. Dans certaines circonstances, un itinéraire vers Internet est nécessaire, il est donc préférable de configurer un itinéraire pour éviter toute défaillance. Ainsi, si vous avez configuré Amazon ECR pour utiliser un point de terminaison AWS PrivateLink VPC d'interface, vous devez vous assurer que le premier pull dispose d'un itinéraire vers Internet. Pour ce faire, vous pouvez créer un sous-réseau public dans le même VPC, avec une passerelle Internet, puis acheminer tout le trafic sortant vers Internet depuis leur sous-réseau privé vers le sous-réseau public. Les extractions d'image suivantes à l'aide de la règle de cache d'extraction ne l'exigent pas. Pour de plus amples informations, consultez Exemples d'options de routage dans le Guide de l'utilisateur Amazon Virtual Private Cloud.