Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sinkronkan registri hulu dengan registri pribadi Amazon ECR
Menggunakan aturan pull through cache, Anda dapat menyinkronkan konten registri upstream dengan registri pribadi Amazon ECR Anda.
Amazon ECR saat ini mendukung pembuatan aturan cache tarik untuk pendaftar hulu berikut:
-
Amazon ECR Public, Kubernetes container image registry, dan Quay (tidak memerlukan otentikasi)
-
Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry, dan GitLab Container Registry (memerlukan otentikasi dengan rahasia) AWS Secrets Manager
-
Amazon ECR (memerlukan otentikasi dengan peran AWS IAM)
Untuk GitLab Container Registry, Amazon ECR mendukung pull through cache hanya dengan GitLab penawaran Software as a Service (SaaS). Untuk informasi lebih lanjut tentang menggunakan penawaran GitLab SaaS, lihat GitLab .com.
Untuk registrasi upstream yang memerlukan otentikasi dengan rahasia (seperti Docker Hub), Anda harus menyimpan kredensialnya secara rahasia. AWS Secrets Manager Anda dapat menggunakan konsol Amazon ECR untuk membuat rahasia Secrets Manager untuk setiap registri upstream yang diautentikasi. Untuk informasi selengkapnya tentang membuat rahasia Secrets Manager menggunakan konsol Secrets Manager, lihatMenyimpan kredensi repositori upstream Anda secara rahasia AWS Secrets Manager.
Untuk Amazon ECR, Anda harus membuat peran IAM jika pendaftar ECR Amazon hulu dan hilir milik akun yang berbeda. AWS Untuk informasi selengkapnya tentang cara membuat sebuah IAM role, lihat Kebijakan IAM diperlukan untuk ECR lintas akun ke ECR menarik cache.
Setelah Anda membuat aturan pull through cache untuk registri upstream, tarik gambar dari registri upstream menggunakan URI registri pribadi Amazon ECR Anda. Amazon ECR kemudian membuat repositori dan menyimpan gambar itu di registri pribadi Anda. Untuk permintaan tarik berikutnya dari gambar yang di-cache dengan tag yang diberikan, Amazon ECR memeriksa registri hulu untuk versi baru gambar dengan tag spesifik tersebut dan mencoba memperbarui gambar di registri pribadi Anda setidaknya sekali setiap 24 jam.
Templat pembuatan repositori
Amazon ECR telah menambahkan dukungan untuk template pembuatan repositori, yang memberi Anda kontrol untuk menentukan konfigurasi awal untuk repositori baru yang dibuat oleh Amazon ECR atas nama Anda menggunakan aturan pull through cache. Setiap template berisi awalan namespace repositori yang digunakan untuk mencocokkan repositori baru dengan template tertentu. Template dapat menentukan konfigurasi untuk semua pengaturan repositori termasuk kebijakan akses berbasis sumber daya, kekekalan tag, enkripsi, dan kebijakan siklus hidup. Pengaturan dalam template pembuatan repositori hanya diterapkan selama pembuatan repositori dan tidak berpengaruh pada repositori atau repositori yang ada yang dibuat menggunakan metode lain. Untuk informasi selengkapnya, lihat Template untuk mengontrol repositori yang dibuat selama penarikan melalui cache atau tindakan replikasi.
Pertimbangan untuk menggunakan aturan pull through cache
Pertimbangkan hal berikut saat menggunakan Amazon ECR tarik melalui aturan cache.
-
Membuat aturan pull through cache tidak didukung di Wilayah berikut.
-
China (Beijing) (
cn-north-1
) -
China (Ningxia) (
cn-northwest-1
) -
AWS GovCloud (AS-Timur) (
us-gov-east-1
) -
AWS GovCloud (AS-Barat) (
us-gov-west-1
)
-
-
AWS Lambda tidak mendukung penarikan gambar kontainer dari Amazon ECR menggunakan aturan cache tarik.
-
Saat menarik gambar menggunakan cache tarik, titik akhir layanan Amazon ECR FIPS tidak didukung saat pertama kali gambar ditarik. Menggunakan titik akhir layanan Amazon ECR FIPS berfungsi pada tarikan berikutnya.
-
Saat gambar yang di-cache ditarik melalui URI registri pribadi Amazon ECR, penarikan gambar dimulai oleh alamat IP. AWS Ini memastikan bahwa penarikan gambar tidak dihitung terhadap kuota tingkat tarik apa pun yang diterapkan oleh registri hulu.
-
Saat gambar yang di-cache ditarik melalui URI registri pribadi Amazon ECR, Amazon ECR memeriksa repositori upstream setidaknya sekali setiap 24 jam untuk memverifikasi apakah gambar yang di-cache adalah versi terbaru. Jika ada gambar yang lebih baru di registri hulu, Amazon ECR mencoba memperbarui gambar yang di-cache. Timer ini didasarkan pada tarikan terakhir dari gambar yang di-cache.
-
Jika Amazon ECR tidak dapat memperbarui gambar dari registri hulu karena alasan apa pun dan gambar ditarik, gambar cache terakhir akan tetap ditarik.
-
Saat membuat rahasia Secrets Manager yang berisi kredensyal registri hulu, nama rahasia harus menggunakan awalan.
ecr-pullthroughcache/
Rahasianya juga harus berada di akun dan Wilayah yang sama tempat aturan pull through cache dibuat. -
Saat gambar multi-arsitektur ditarik menggunakan aturan cache pull through, daftar manifes dan setiap gambar yang direferensikan dalam daftar manifes ditarik ke repositori Amazon ECR. Jika Anda hanya ingin menarik arsitektur tertentu, Anda dapat menarik gambar menggunakan intisari gambar atau tag yang terkait dengan arsitektur daripada tag yang terkait dengan daftar manifes.
-
Amazon ECR menggunakan peran IAM terkait layanan, yang menyediakan izin yang diperlukan Amazon ECR untuk membuat repositori, mengambil nilai rahasia Secrets Manager untuk otentikasi, dan mendorong gambar yang di-cache atas nama Anda. Peran IAM terkait layanan dibuat secara otomatis saat aturan pull through cache dibuat. Untuk informasi selengkapnya, lihat Peran terkait layanan Amazon ECR untuk menarik cache.
-
Secara default, prinsipal IAM yang menarik gambar yang di-cache memiliki izin yang diberikan kepada mereka melalui kebijakan IAM mereka. Anda dapat menggunakan kebijakan izin registri pribadi Amazon ECR untuk cakupan lebih lanjut izin entitas IAM. Untuk informasi selengkapnya, lihat Menggunakan izin registri.
-
Repositori Amazon ECR yang dibuat menggunakan alur kerja pull through cache diperlakukan seperti repositori ECR Amazon lainnya. Semua fitur repositori, seperti replikasi dan pemindaian gambar didukung.
-
Saat Amazon ECR membuat repositori baru atas nama Anda menggunakan tindakan pull through cache, pengaturan default berikut diterapkan ke repositori kecuali ada template pembuatan repositori yang cocok. Anda dapat menggunakan template pembuatan repositori untuk menentukan pengaturan yang diterapkan ke repositori yang dibuat oleh Amazon ECR atas nama Anda. Untuk informasi selengkapnya, lihat Template untuk mengontrol repositori yang dibuat selama penarikan melalui cache atau tindakan replikasi.
-
Kekekalan tag - Dimatikan, tag dapat berubah dan dapat ditimpa.
-
Enkripsi —
AES256
Enkripsi default digunakan. -
Izin repositori - Dihilangkan, tidak ada kebijakan izin repositori yang diterapkan.
-
Kebijakan siklus hidup - Dihilangkan, tidak ada kebijakan siklus hidup yang diterapkan.
-
Tag sumber daya - Dihilangkan, tidak ada tag sumber daya yang diterapkan.
-
-
Mengaktifkan kekekalan tag gambar untuk repositori menggunakan aturan cache tarik melalui akan mencegah Amazon ECR memperbarui gambar menggunakan tag yang sama.
-
Ketika gambar ditarik menggunakan aturan pull through cache untuk pertama kalinya rute ke internet mungkin diperlukan. Ada keadaan tertentu di mana rute ke internet diperlukan sehingga yang terbaik adalah mengatur rute untuk menghindari kegagalan. Jadi, jika Anda telah mengonfigurasi Amazon ECR untuk AWS PrivateLink menggunakan titik akhir VPC antarmuka, maka Anda perlu memastikan tarikan pertama memiliki rute ke internet. Salah satu cara untuk melakukannya adalah dengan membuat subnet publik di VPC yang sama, dengan gateway internet, dan kemudian merutekan semua lalu lintas keluar ke internet dari subnet pribadi mereka ke subnet publik. Penarikan gambar berikutnya menggunakan aturan pull through cache tidak memerlukan ini. Untuk informasi selengkapnya, lihat Contoh opsi perutean di Panduan Pengguna Amazon Virtual Private Cloud.