Sincronizar um registro upstream com um registro privado do Amazon ECR - Amazon ECR
Modelos de criação de repositórioConsiderações sobre o uso do cache de pull-through

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sincronizar um registro upstream com um registro privado do Amazon ECR

Com as regras de cache de pull-through, você pode sincronizar o conteúdo de um registro upstream com o registro privado do Amazon ECR.

Atualmente, o Amazon ECR oferece suporte à criação de regras de cache pull through para os seguintes registros upstream:

  • Amazon ECR Public, Kubernetes Container Image Registry e Quay (não requer autenticação)

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry e GitLab Container Registry (requer autenticação com AWS Secrets Manager segredo)

  • Amazon ECR (requer autenticação com a função AWS IAM)

Para o GitLab Container Registry, o Amazon ECR oferece suporte ao cache de pull through somente com GitLab a oferta de Software as a Service (SaaS). Para obter mais informações sobre como usar GitLab a oferta de SaaS, consulte GitLab .com.

Para registros upstream que exigem autenticação com segredos (como o Docker Hub), você deve armazenar suas credenciais em um segredo. AWS Secrets Manager Você pode usar o console do Amazon ECR para criar segredos do Secrets Manager para cada registro upstream autenticado. Para obter mais informações sobre como criar um segredo no Secrets Manager usando o console do Secrets Manager, consulte Armazenando suas credenciais do repositório upstream em segredo AWS Secrets Manager.

Para o Amazon ECR, você deve criar uma função do IAM se os registros upstream e downstream do Amazon ECR pertencerem a contas diferentes. AWS Para obter mais informações sobre como criar uma função do IAM, consulte Políticas do IAM necessárias para que o ECR entre contas cruzadas e o ECR passasse pelo cache.

Depois de criar uma regra de cache pull through para o registro upstream, extraia uma imagem desse registro upstream usando seu URI de registro privado do Amazon ECR. Em seguida, o Amazon ECR cria um repositório e armazena essa imagem em cache no seu registro privado. Para pull requests subsequentes da imagem em cache com uma determinada tag, o Amazon ECR verifica o registro upstream em busca de uma nova versão da imagem com essa tag específica e tenta atualizar a imagem em seu registro privado pelo menos uma vez a cada 24 horas.

Modelos de criação de repositório

O Amazon ECR adicionou suporte para modelos de criação de repositório, o que lhe dá o controle para especificar configurações iniciais para novos repositórios criados pelo Amazon ECR em seu nome usando regras de cache de pull-through. Cada modelo contém um prefixo de namespace do repositório que é usado para associar novos repositórios a um modelo específico. Os modelos podem especificar a configuração para todas as configurações do repositório, incluindo políticas de acesso baseadas em recursos, imutabilidade de tags, criptografia e políticas de ciclo de vida. As configurações em um modelo de criação de repositório são aplicadas apenas durante a criação do repositório e não têm efeito sobre repositórios existentes ou repositórios criados usando qualquer outro método. Para obter mais informações, consulte Modelos para controlar repositórios criados durante uma ação de cache de pull-through ou replicação.

Considerações sobre o uso do cache de pull-through

Os pontos a seguir devem ser considerados ao usar as regras do cache de pull-through do Amazon ECR.

  • A criação de regras de cache de pull-through não é aceita nas seguintes Regiões:

    • China (Pequim) (cn-north-1)

    • China (Ningxia) (cn-northwest-1)

    • AWS GovCloud (Leste dos EUA) (us-gov-east-1)

    • AWS GovCloud (Oeste dos EUA) (us-gov-west-1)

  • AWS Lambda não suporta a extração de imagens de contêineres do Amazon ECR usando uma regra de cache pull through.

  • Ao extrair imagens usando o cache de pull-through, os endpoints de serviço FIPS do Amazon ECR não são suportados na primeira vez que uma imagem é extraída. No entanto, usar os endpoints de serviço FIPS do Amazon ECR funciona em extrações subsequentes.

  • Quando uma imagem em cache é extraída por meio do URI de registro privado do Amazon ECR, a extração da imagem é iniciada por AWS endereços IP. Isso garante que o pull da imagem não seja contabilizado em nenhuma cota de taxa de pull implementada pelo registro upstream.

  • Quando uma imagem armazenada em cache é puxada por meio do URI do registro privado da Amazon ECR, o Amazon ECR verifica o repositório upstream pelo menos uma vez a cada 24 horas para verificar se a imagem em cache é a versão mais recente. Se houver uma imagem mais recente no registro upstream, o Amazon ECR tentará atualizar a imagem em cache. Este temporizador é baseado na última extração da imagem em cache.

  • Se o Amazon ECR não conseguir atualizar a imagem do registro upstream por qualquer motivo e a imagem for extraída, a última imagem em cache ainda será extraída.

  • Ao criar o segredo do Secrets Manager que contém as credenciais do registro upstream, o nome do segredo deve usar o prefixo ecr-pullthroughcache/. O segredo também deve estar na mesma conta e região em que a regra de cache de pull-through foi criada.

  • Quando uma imagem multiarquitetura é extraída por meio de uma regra de cache de pull-through, a lista de manifestos e cada imagem referenciada na lista de manifesto são extraídas para o repositório do Amazon ECR. Se desejar apenas extrair uma arquitetura específica, você poderá extrair a imagem usando o resumo da imagem ou a tag associada à arquitetura, em vez da tag associada à lista de manifesto.

  • O Amazon ECR utiliza um perfil do IAM vinculada ao serviço, que fornece as permissões necessárias para o Amazon ECR criar o repositório, recuperar o valor do segredo do Secrets Manager para autenticação e enviar a imagem armazenada em cache em seu nome. A função do IAM vinculada ao serviço é criada automaticamente quando uma regra de cache de pull-through é criada. Para obter mais informações, consulte Função vinculada ao serviço do Amazon ECR para cache de pull-through.

  • Por padrão, a entidade principal do IAM que está puxando a imagem armazenada em cache tem as permissões concedidas a ele por meio de sua política do IAM. Você pode usar a política de permissões de registro privado do Amazon ECR para aumentar o escopo das permissões de uma entidade do IAM. Para obter mais informações, consulte Usar permissões de registro.

  • Os repositórios do Amazon ECR criados usando o fluxo de trabalho de cache de pull-through são tratados como qualquer outro repositório do Amazon ECR. Todos os recursos do repositório, como replicação e verificação de imagens, são compatíveis.

  • Quando o Amazon ECR cria um novo repositório em seu nome usando uma ação de cache de pull-through, as seguintes configurações padrão são aplicadas ao repositório, a menos que haja um modelo correspondente de criação de repositório. Você pode usar um modelo de criação de repositório para definir as configurações aplicadas aos repositórios criados pelo Amazon ECR em seu nome. Para obter mais informações, consulte Modelos para controlar repositórios criados durante uma ação de cache de pull-through ou replicação.

    • Imutabilidade da tag — Desativada, as tags são mutáveis e podem ser sobrescritas.

    • Criptografia — A AES256 criptografia padrão é usada.

    • Permissões do repositório — Omitida, nenhuma política de permissões do repositório é aplicada.

    • Política de ciclo de vida — omitida, nenhuma política de ciclo de vida é aplicada.

    • Tags de recursos — Omitidas, nenhuma tag de recurso é aplicada.

  • Ativar a imutabilidade da tag de imagem para repositórios usando uma regra de cache de pull-through impedirá que o Amazon ECR atualize imagens usando a mesma tag.

  • Quando uma imagem é extraída usando a regra de cache de pull-through pela primeira vez, uma rota para a internet pode ser necessária. Há certas circunstâncias em que uma rota para a internet é necessária, então é melhor configurar uma rota para evitar falhas. Portanto, se você configurou o Amazon ECR para usar uma interface VPC endpoint AWS PrivateLink , precisará garantir que o primeiro pull tenha uma rota para a Internet. Uma maneira de fazer isso é criar uma sub-rede pública na mesma VPC, com um gateway da internet. Em seguida, é preciso rotear todo o tráfego de saída da sub-rede privada para a sub-rede pública. As extrações subsequentes de imagem usando a regra de cache de pull-through não exigem isso. Para obter mais informações, consulte Opções de rotas de exemplos no Guia do usuário da Amazon Virtual Private Cloud.