Private image replication in Amazon ECR - Amazon ECR
Requisiti delle politiche di replicaConsiderazioni per la replica di immagini private

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Private image replication in Amazon ECR

Puoi configurare il tuo registro privato Amazon ECR in modo da supportare la replica dei tuoi repository. Amazon ECR supporta sia la replica tra regioni che tra account. Affinché si verifichi la replica tra account, l'account di destinazione deve configurare una policy di autorizzazione del registro per consentire la replica dal registro. Per ulteriori informazioni, consulta Autorizzazioni di registro private in Amazon ECR.

Argomenti

Requisiti delle politiche di replica tra account

Affinché la replica ECR tra account funzioni correttamente, è necessario comprendere quale account necessita di quali politiche configurate. Questa sezione chiarisce i requisiti delle policy sia per gli account di origine che per quelli di destinazione.

Panoramica della configurazione delle politiche

La replica ECR tra account richiede la configurazione delle policy solo sull'account di destinazione. L'account di origine non richiede alcun repository o policy di registro speciali.

  • Account di origine: configura le regole di replica nelle impostazioni del registro. Non sono richieste politiche aggiuntive sui repository di origine.

  • Account di destinazione: configura una politica di autorizzazione del registro per consentire all'account di origine di replicare le immagini.

Requisiti della politica del registro di destinazione

L'account di destinazione deve configurare una politica di autorizzazioni del registro che conceda all'account di origine l'autorizzazione a eseguire le seguenti azioni:

  • ecr:ReplicateImage- Consente all'account di origine di replicare le immagini nel registro di destinazione

  • ecr:CreateRepository- Consente a ECR di creare automaticamente repository nel registro di destinazione se non esistono già

Importante

Se non si concede l'ecr:CreateRepositoryautorizzazione, è necessario creare manualmente repository con gli stessi nomi nell'account di destinazione prima che la replica possa avere successo.

Esempio di politica del registro di destinazione:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCrossAccountReplication",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "ecr:ReplicateImage",
                "ecr:CreateRepository"
            ],
            "Resource": "*"
        }
    ]
}

Requisiti dell'account di origine

L'account di origine deve solo:

  • Configurare le regole di replica nelle impostazioni del registro per specificare l'account e le regioni di destinazione

  • Assicurati che il principale IAM che configura la replica disponga delle autorizzazioni ECR necessarie

Non sono richieste politiche aggiuntive sui repository di origine. I repository di origine non necessitano di politiche di repository che concedano autorizzazioni di replica.

Idee sbagliate comuni

Di seguito sono riportate le idee sbagliate più comuni sulle politiche di replica ECR tra account:

  • Idea sbagliata: il repository di origine necessita di una policy che consenta all'account di destinazione di replicare le immagini.

    Realtà: i repository di origine non necessitano di politiche speciali per la replica.

  • Idea sbagliata: sia gli account di origine che quelli di destinazione necessitano di politiche di registro.

    Realtà: solo l'account di destinazione necessita di una politica di autorizzazioni di registro.

  • Idea sbagliata: le politiche del repository e le politiche del registro sono la stessa cosa.

    Realtà: le politiche del repository controllano l'accesso ai singoli repository, mentre le politiche del registro controllano le operazioni a livello di registro come la replica.

Risoluzione dei problemi di replica

Se la replica tra account non riesce, controlla quanto segue:

  • Verifica che per l'account di destinazione sia configurata una politica di autorizzazione del registro

  • Assicurati che la politica del registro includa entrambe ecr:ReplicateImage le ecr:CreateRepository azioni

  • Verifica che l'ID dell'account di origine sia specificato correttamente nella politica del registro di destinazione

  • Verifica che i repository di destinazione esistano (se non ecr:CreateRepository è concesso)

  • Controlla CloudTrail i log per le chiamate non riuscite CreateRepository o ReplicateImage le chiamate API

Considerazioni per la replica di immagini private

Quando usi la replica di immagini private, tieni presenti le considerazioni seguenti:

  • Viene replicato solo il contenuto del repository inviato o ripristinato in un repository dopo la configurazione della replica. Qualsiasi contenuto preesistente in un repository non sarà replicato. Se un'immagine viene ripristinata dopo l'attivazione della replica, verrà replicata. Se viene ripristinata prima dell'attivazione della replica, non verrà replicata.

  • Il nome del repository rimarrà lo stesso in tutte le regioni e gli account una volta che la replica sarà stata effettuata. Amazon ECR non supporta la modifica del nome del repository durante la replica.

  • La prima volta che configuri il registro privato per la replica, Amazon ECR crea un ruolo IAM collegato ai servizi per tuo conto. Il ruolo IAM collegato ai servizi concede al servizio di replica Amazon ECR l'autorizzazione necessaria per creare repository e replicare immagini nel registro. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon ECR.

  • Affinché si verifichi la replica tra account, la destinazione del registro privato deve concedere l'autorizzazione per consentire al registro di origine di replicare le immagini. Per questa operazione viene effettuato l'impostazione di una policy delle autorizzazioni del registro privato. Per ulteriori informazioni, consulta Autorizzazioni di registro private in Amazon ECR.

  • Se le policy di autorizzazione per un registro privato vengono modificate per rimuovere un'autorizzazione, le repliche in corso precedentemente concesse potrebbero essere completate.

  • Affinché si verifichi la replica tra regioni, sia l'account di origine che quello di destinazione devono essere abilitati alla regione prima di eseguire qualsiasi azione di replica all'interno o verso quella regione. Per ulteriori informazioni, consulta Gestione delle regioni AWS nella Riferimenti generali di Amazon Web Services.

  • La replica tra regioni non è supportata tra le partizioni. AWS Ad esempio, un repository in us-west-2 non può essere replicato in cn-north-1. Per ulteriori informazioni sulle AWS partizioni, vedere il formato ARN AWS nella Guida generale.

  • La configurazione di replica per un registro privato può contenere fino a 25 destinazioni univoche per tutte le regole, con un massimo di 10 regole totali. Ogni regola può contenere fino a 100 filtri. Ciò consente di specificare regole separate per i repository contenenti immagini utilizzate per la produzione e il test, ad esempio.

  • La configurazione di replica supporta il filtro dei repository di un registro privato che vengono replicati specificando un prefisso del repository. Per vedere un esempio, consulta Esempio: configurazione della replica tra regioni utilizzando un filtro repository.

  • Un'azione di replica si verifica solo una volta per invio o ripristino dell'immagine. Ad esempio, se è stata configurata la replica tra regioni da us-west-2 a us-east-1 e da us-east-1 a us-east-2, un'immagine inviata a us-west-2 si replica solo in us-east-1, non si replica di nuovo in us-east-2. Questo comportamento si applica sia alla replica tra regioni e che tra account.

  • La maggior parte delle immagini viene replicata in meno di 30 minuti, ma in rari casi la replica potrebbe richiedere più tempo.

  • La replica del registro non esegue alcuna azione di eliminazione o archiviazione. Le immagini e gli archivi replicati possono essere eliminati o archiviati quando non vengono più utilizzati.

  • Se l'immagine da replicare viene archiviata nella destinazione, verrà ripristinata nella destinazione.

  • Quando un'immagine viene archiviata in una regione di origine, non verrà archiviata in una regione di destinazione specificata dalla configurazione di replica.

  • le policy del repository, tra cui le policy IAM e le policy del ciclo di vita, non vengono replicate e non hanno alcun effetto se non sul repository per cui sono definite.

  • Le impostazioni del repository non vengono replicate per impostazione predefinita, ma è possibile replicarle utilizzando i modelli di creazione del repository. Queste impostazioni includono la mutabilità dei tag, la crittografia, le autorizzazioni del repository e le politiche del ciclo di vita. Per ulteriori informazioni sui modelli di creazione di repository, vedere. Modelli per controllare i repository creati durante un'azione di pull through, cache o replica

  • Se l'immutabilità dei tag è abilitata in un repository e viene replicata un'immagine che utilizza lo stesso tag di un'immagine esistente, l'immagine viene replicata ma non conterrà il tag duplicato. In questo modo all'immagine potrebbero non essere assegnati tag.