Replikasi image privat di Amazon ECR - Amazon ECR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Replikasi image privat di Amazon ECR

Anda dapat mengonfigurasi registri pribadi Amazon ECR Anda untuk mendukung replikasi repositori Anda. Amazon ECR mendukung replikasi lintas wilayah dan lintas akun. Agar replikasi lintas akun terjadi, akun tujuan harus mengonfigurasi kebijakan izin registri agar replikasi dari registri sumber terjadi. Untuk informasi selengkapnya, lihat Izin registri pribadi di Amazon ECR.

Persyaratan kebijakan replikasi lintas akun

Agar replikasi ECR lintas akun berfungsi dengan baik, Anda harus memahami akun mana yang memerlukan kebijakan mana yang dikonfigurasi. Bagian ini menjelaskan persyaratan kebijakan untuk akun sumber dan tujuan.

Ikhtisar konfigurasi kebijakan

Replikasi ECR lintas akun hanya memerlukan konfigurasi kebijakan pada akun tujuan. Akun sumber tidak memerlukan repositori khusus atau kebijakan registri.

  • Akun Sumber: Konfigurasikan aturan replikasi dalam pengaturan registri. Tidak ada kebijakan tambahan yang diperlukan pada repositori sumber.

  • Akun Tujuan: Konfigurasikan kebijakan izin registri untuk memungkinkan akun sumber mereplikasi gambar.

Persyaratan kebijakan registri tujuan

Akun tujuan harus mengonfigurasi kebijakan izin registri yang memberikan izin akun sumber untuk melakukan tindakan berikut:

  • ecr:ReplicateImage- Memungkinkan akun sumber untuk mereplikasi gambar ke registri tujuan

  • ecr:CreateRepository- Memungkinkan ECR untuk secara otomatis membuat repositori di registri tujuan jika belum ada

penting

Jika Anda tidak memberikan ecr:CreateRepository izin, Anda harus secara manual membuat repositori dengan nama yang sama di akun tujuan sebelum replikasi dapat berhasil.

Contoh kebijakan registri tujuan:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCrossAccountReplication", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::SOURCE-ACCOUNT-ID:root" }, "Action": [ "ecr:ReplicateImage", "ecr:CreateRepository" ] } ] }

Persyaratan akun sumber

Akun sumber hanya perlu:

  • Konfigurasikan aturan replikasi dalam pengaturan registri untuk menentukan akun tujuan dan wilayah

  • Pastikan replikasi konfigurasi utama IAM memiliki izin ECR yang diperlukan

Tidak ada kebijakan tambahan yang diperlukan pada repositori sumber. Repositori sumber tidak memerlukan kebijakan repositori yang memberikan izin replikasi.

Kesalahpahaman umum

Berikut ini adalah kesalahpahaman umum tentang kebijakan replikasi lintas akun ECR:

  • Kesalahpahaman: Repositori sumber memerlukan kebijakan yang memungkinkan akun tujuan untuk mereplikasi gambar.

    Realitas: Repositori sumber tidak memerlukan kebijakan khusus untuk replikasi.

  • Kesalahpahaman: Akun sumber dan tujuan memerlukan kebijakan registri.

    Realitas: Hanya akun tujuan yang memerlukan kebijakan izin registri.

  • Kesalahpahaman: Kebijakan repositori dan kebijakan registri adalah hal yang sama.

    Realitas: Kebijakan repositori mengontrol akses ke repositori individual, sementara kebijakan registri mengontrol operasi tingkat registri seperti replikasi.

Memecahkan masalah kegagalan replikasi

Jika replikasi lintas akun gagal, periksa hal berikut:

  • Verifikasi bahwa akun tujuan memiliki kebijakan izin registri yang dikonfigurasi

  • Pastikan kebijakan registri mencakup keduanya ecr:ReplicateImage dan ecr:CreateRepository tindakan

  • Konfirmasikan ID akun sumber ditentukan dengan benar dalam kebijakan registri tujuan

  • Periksa apakah repositori tujuan ada (jika tidak ecr:CreateRepository diberikan)

  • Meninjau CloudTrail log untuk panggilan gagal CreateRepository atau ReplicateImage API

Pertimbangan untuk replikasi citra pribadi

Hal-hal berikut ini harus dipertimbangkan ketika menggunakan replikasi citra pribadi.

  • Hanya konten repositori yang didorong ke repositori setelah replikasi dikonfigurasi direplikasi. Setiap konten yang sudah ada sebelumnya dalam repositori tidak direplikasi. Setelah replikasi dikonfigurasi untuk repositori, Amazon ECR menjaga tujuan dan sumber disinkronkan.

  • Nama repositori akan tetap sama di seluruh Wilayah dan akun saat replikasi telah terjadi. Amazon ECR tidak mendukung perubahan nama repositori selama replikasi.

  • Pertama kali Anda mengonfigurasi registri pribadi untuk replikasi, Amazon ECR membuat peran IAM terkait layanan atas nama Anda. Peran IAM terkait layanan memberikan layanan replikasi Amazon ECR izin yang diperlukan untuk membuat repositori dan mereplikasi gambar di registri Anda. Untuk informasi selengkapnya, lihat Menggunakan Peran Terkait Layanan untuk Amazon ECR.

  • Agar replikasi lintas akun terjadi, tujuan registri pribadi harus memberikan izin untuk mengizinkan registri sumber mereplikasi gambarnya. Ini dilakukan dengan menetapkan kebijakan izin registri pribadi. Untuk informasi selengkapnya, lihat Izin registri pribadi di Amazon ECR.

  • Jika kebijakan izin untuk registri pribadi diubah untuk menghapus izin, setiap replikasi yang sedang berlangsung yang sebelumnya diberikan dapat diselesaikan.

  • Agar replikasi lintas wilayah terjadi, akun sumber dan tujuan harus ikut serta dalam Wilayah sebelum tindakan replikasi apa pun yang terjadi di dalam atau ke Wilayah tersebut. Untuk informasi selengkapnya, lihat Mengelola Wilayah AWS di Referensi Umum Amazon Web Services.

  • Replikasi Lintas Wilayah tidak didukung antar AWS partisi. Misalnya, repositori di tidak us-west-2 dapat direplikasi ke. cn-north-1 Untuk informasi selengkapnya tentang AWS partisi, lihat format ARN di Referensi Umum AWS .

  • Konfigurasi replikasi untuk registri pribadi dapat berisi hingga 25 tujuan unik di semua aturan, dengan maksimal 10 aturan total. Setiap aturan dapat berisi hingga 100 filter. Ini memungkinkan untuk menentukan aturan terpisah untuk repositori yang berisi gambar yang digunakan untuk produksi dan pengujian, misalnya.

  • Konfigurasi replikasi mendukung pemfilteran repositori mana dalam registri pribadi direplikasi dengan menentukan awalan repositori. Sebagai contoh, lihat Contoh: Mengonfigurasi replikasi lintas wilayah menggunakan filter repositori.

  • Sebuah tindakan replikasi hanya terjadi sekali per dorongan citra. Sebagai contoh, jika Anda mengonfigurasi replikasi lintas wilayah dari us-west-2 ke us-east-1 dan dari us-east-1 ke us-east-2, citra yang didorong ke us-west-2 bereplikasi hanya ke us-east-1, ia tidak mereplikasi lagi ke us-east-2. Perilaku ini berlaku untuk replikasi lintas wilayah maupun lintas akun.

  • Mayoritas gambar mereplikasi dalam waktu kurang dari 30 menit, tetapi dalam kasus yang jarang terjadi replikasi mungkin memakan waktu lebih lama.

  • Replikasi registri tidak melakukan tindakan menghapus apa pun. citra dan repositori yang direplikasi dapat dihapus secara manual saat tidak lagi digunakan.

  • Kebijakan repositori, termasuk kebijakan IAM, dan kebijakan siklus hidup tidak direplikasi dan tidak memiliki efek apa pun selain pada repositori yang ditetapkan untuknya.

  • Pengaturan repositori tidak direplikasi secara default, Anda dapat mereplikasi pengaturan repositori menggunakan templat pembuatan repositori. Pengaturan ini mencakup mutabilitas tag, enkripsi, izin repositori, dan kebijakan siklus hidup. Untuk informasi selengkapnya tentang template pembuatan repositori, lihat. Template untuk mengontrol repositori yang dibuat selama penarikan melalui cache atau tindakan replikasi

  • Jika ketetapan tanda diaktifkan pada repositori dan sebuah citra direplikasi yang menggunakan tanda yang sama sebagai citra yang ada, citra direplikasi tetapi tidak akan berisi duplikasi tandanya. Hal ini dapat mengakibatkan citra yang tidak ditandai.