Começando com IPv6 Testar a compatibilidade com endereços IP Fazer solicitações usando endpoints de pilha dupla Usar endpoints do Amazon ECR a partir da CLI do Docker Usando IPv6 endereços nas políticas do IAM

Fazer solicitações aos registros do Amazon ECR

Você pode enviar, extrair, excluir, visualizar e gerenciar imagens OCI, imagens Docker e artefatos compatíveis com OCI nos registros privados do Amazon ECR usando IPv4 apenas endpoints ou endpoints de pilha dupla (e). IPv4 IPv6 Para fazer solicitações de IPv4 redes, você pode usar pilha dupla ou endpoints. IPv4 Para fazer solicitações de uma IPv6 rede, use um endpoint de pilha dupla. Para obter mais informações sobre como fazer solicitações aos registros públicos do Amazon ECR usando IPv4 endpoints de pilha dupla, consulte Fazer solicitações aos registros públicos do Amazon ECR. Não há cobranças adicionais para acessar o Amazon ECR. IPv6 Para ter mais informações sobre preços, consulte Preços do Amazon Elastic Container Registry.

Os endpoints do Amazon ECR são designados por atributos além do suporte IPv4 exclusivo para endpoints ou endpoints de pilha dupla. Esses atributos podem incluir:

Região – Cada endpoint é específico de uma região.
Tipo — A seleção do endpoint depende se você está usando as interfaces de linha de comando Docker e compatíveis com AWS SDK ou OCI.
Segurança – Em regiões selecionadas, o Amazon ECR oferece endpoints compatíveis com FIPS. Para obter uma lista de endpoints do Amazon ECR compatíveis com FIPS, consulte Federal Information Processing Standard (FIPS) 140-3.

Para obter mais informações sobre endpoints de serviço suportados pelo cliente dual-stack IPv4, Docker e OCI, que processa chamadas de API do Amazon ECR a partir da CLI AWS , consulte Service endpoints. AWS SDKs

Começando a fazer solicitações IPv6

Para fazer uma solicitação para um registro do Amazon ECR IPv6, você precisa usar um endpoint de pilha dupla. Antes de acessar um registro do Amazon ECR IPv6, verifique os seguintes requisitos:

Seu cliente e sua rede devem oferecer suporte IPv6.
O Amazon ECR oferece suporte aos seguintes tipos de solicitação em IPv6:
- Solicitações de clientes OCI e Docker:
  
  <registry-id>.dkr-ecr.<aws-region>.on.aws
- AWS Solicitações de API:
  
  ecr.<aws-region>.api.aws
Você deve atualizar qualquer política AWS Identity and Access Management (IAM) ou de registro que use a filtragem de endereço IP de origem para incluir intervalos de IPv6 endereços. Para obter mais informações, consulte Usando IPv6 endereços nas políticas do IAM.
Quando você usa IPv6, os registros de acesso ao servidor exibem Remote IP endereços em IPv6 formato. Atualize suas ferramentas, scripts e software existentes para analisar esses endereços IPv6 IP formatados.

nota
Se você tiver problemas relacionados à presença de IPv6 endereços nos arquivos de log, entre em contato com AWS Support.

Testar a compatibilidade com endereços IP

Se você estiver usando o use Linux/Unix ou o Mac OS X, poderá testar se é possível acessar um endpoint de pilha dupla IPv6 usando o curl comando, conforme mostrado no exemplo a seguir:


curl --verbose https://ecr.us-west-2.api.aws

Você recebe de volta informações semelhantes ao exemplo a seguir. Se você estiver conectado IPv6 pelo endereço IP conectado, será um IPv6 endereço.


* About to connect() to ecr.us-west-2.api.aws port 443 (#0)
* Trying IPv6 address... connected
* Connected to ecr.us-west-2.api.aws (IPv6 address) port 443 (#0)
> Host: ecr.us-west-2.api.aws
* Request completely sent off

Se você estiver usando o Microsoft Windows 7 ou o Windows 10, poderá testar se é possível acessar um endpoint de pilha dupla usando IPv4 ou IPv6 usando o ping comando, conforme mostrado no exemplo a seguir.


ping ecr.us-west-2.api.aws

Fazer solicitações IPv6 usando endpoints de pilha dupla

Você pode fazer chamadas de API do Amazon ECR IPv6 usando endpoints de pilha dupla. A funcionalidade e o desempenho das operações da API do Amazon ECR permanecem consistentes, independentemente de você usar IPv4 ou IPv6.

Ao usar o AWS Command Line Interface (AWS CLI) e AWS SDKs, você pode habilitar IPv6 usando um parâmetro ou sinalizador para alternar para um endpoint de pilha dupla ou especificando diretamente o endpoint de pilha dupla em seu arquivo de configuração para substituir o endpoint padrão do Amazon ECR. Você também pode fazer alterações de configuração usando um comando, que define use_dualstack_endpoint como verdadeiro no perfil padrão. Para obter mais informações sobre use_dualstack_endpoint, consulte Endpoints FIPS e de pilha dupla.

exemplo Fazendo alterações na configuração usando um comando

aws configure set default.ecr.use_dualstack_endpoint true

exemplo Fazendo solicitações sobre o IPv6 uso AWS CLI

aws ecr describe-repositories --region us-west-2 --endpoint-url https://ecr.us-west-2.api.aws

Usar endpoints do Amazon ECR a partir da CLI do Docker

Depois de entrar no repositório do Amazon ECR e marcar sua imagem, você pode enviar e extrair imagens OCI e imagens do Docker de e para os registros do Amazon ECR. Os exemplos a seguir demonstram os comandos de envio e extração do Docker com ambos os endpoints de pilha dupla.

exemplo Enviando imagens do docker usando o endpoint IPv4

docker push <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

exemplo Enviar imagens do Docker usando o endpoint de pilha dupla

docker push <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

exemplo Extraindo imagens do docker usando o endpoint IPv4

docker pull <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

exemplo Extrair imagens do Docker usando o endpoint de pilha dupla

docker pull <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

Usando IPv6 endereços nas políticas do IAM

Antes de acessar um registro usando IPv6, certifique-se de que seu usuário do IAM e as políticas de registro do Amazon ECR que usam a filtragem de endereços IP incluam intervalos de IPv6 endereços. Se as políticas de filtragem de endereços IP não forem atualizadas para lidar com IPv6 endereços, os clientes poderão perder ou obter acesso incorretamente ao registro quando começarem a usar. IPv6 Para obter mais informações sobre como gerenciar permissões de acesso com o IAM, consulte Gerenciamento de Identidade e Acesso para o Amazon Elastic Container Registry.

As políticas do IAM que filtram endereços IP usam Operadores de condição de endereço IP. O exemplo de política de registro a seguir mostra como identificar o 54.240.143.* intervalo de IPv4 endereços permitidos usando operadores de condição de endereço IP. Todos os endereços IP fora deste intervalo terão o acesso ao registro (exampleregistry) negado. Como todos os IPv6 endereços estão fora do intervalo permitido, essa política impede que IPv6 os endereços sejam acessadosexampleregistry.

Para permitir os intervalos de endereços IPv4 IPv6 (54.240.143.0/242001:DB8:1234:5678::/64) e (), modifique o elemento Condição da política de registro conforme mostrado no exemplo a seguir. Você pode usar esse formato de bloqueio Condition para atualizar as políticas de usuário do IAM e de registro.


       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Importante

Antes de usar, IPv6 você deve atualizar todas as políticas relevantes de usuário e registro do IAM que usam filtragem de endereço IP. Não recomendamos usar filtros de endereços IP em políticas de registro.

Você pode revisar suas políticas de usuário do IAM usando o console do IAM em https://console.aws.amazon.com/iam/. Para obter mais informações sobre o IAM, consulte o Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Otimizar o desempenho

Registro privado