Sincronización de un registro principal con un registro privado de Amazon ECR - Amazon ECR
Plantillas de creación de repositoriosConsideraciones para utilizar las reglas de caché de extracción

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sincronización de un registro principal con un registro privado de Amazon ECR

Mediante las reglas de caché de extracción, puede sincronizar el contenido de un registro principal con su registro privado de Amazon ECR.

Amazon ECR permite actualmente crear reglas de caché de extracción para los siguientes registros de extracción.

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry y GitLab Container Registry (requiere autenticación)

  • Amazon ECR Public, el registro de imágenes de contenedores de Kubernetes y Quay (no requiere autenticación)

Para GitLab Container Registry, Amazon ECR admite la extracción de caché únicamente con la oferta de software como servicio de GitLab, Gitlab.com.

En el caso de los registros originales que requieren autenticación, debe almacenar sus credenciales en un secreto de AWS Secrets Manager. La consola Amazon ECR le facilita la creación del secreto de Secrets Manager para cada uno de los registros ascendentes autenticados. Para obtener más información acerca de la creación de un secreto de Secrets Manager mediante la consola de Secrets Manager, consulte Almacenar en secreto las credenciales del repositorio principal AWS Secrets Manager.

Después de crear una regla de caché de extracción para el registro principal, simplemente extraiga una imagen de ese registro anterior mediante el URI de su registro privado de Amazon ECR. A continuación, Amazon ECR crea un repositorio y guarda en caché la imagen en su registro privado. En su siguiente solicitud de extracción de la imagen en caché con una etiqueta determinada, Amazon ECR verificará el registro principal para ver si hay una nueva versión de la imagen con esa etiqueta específica e intentará actualizar la imagen en su registro privado al menos una vez cada 24 horas.

Plantillas de creación de repositorios

Amazon ECR ha agregado soporte para las plantillas de creación de repositorios, lo que le permite especificar las configuraciones iniciales de los nuevos repositorios creados por Amazon ECR en su nombre mediante reglas de caché de extracción. Cada plantilla contiene un prefijo de espacio de nombres de repositorio que se utiliza para hacer coincidir los nuevos repositorios con una plantilla específica. Las plantillas pueden especificar la configuración de todos los ajustes del repositorio, incluidas las políticas de acceso basadas en los recursos, la inmutabilidad de las etiquetas, el cifrado y las políticas de ciclo de vida. La configuración de una plantilla de creación de repositorios solo se aplica durante la creación del repositorio y no tiene ningún efecto en los repositorios existentes ni en los repositorios creados mediante cualquier otro método. Para obtener más información, consulte Plantillas para controlar los repositorios creados durante una acción de extracción, caché o replicación.

Consideraciones para utilizar las reglas de caché de extracción

Tenga en cuenta lo siguiente al utilizar las reglas de caché de extracción de Amazon ECR.

  • La creación de reglas de caché de extracción no se admite en las siguientes regiones.

    • China (Pekín) (cn-north-1)

    • China (Ningxia) (cn-northwest-1)

    • AWS GovCloud (EE. UU. Este) (us-gov-east-1)

    • AWS GovCloud (EE. UU. Oeste) (us-gov-west-1)

  • AWS Lambda no admite la extracción de imágenes de contenedores de Amazon ECR mediante una regla de caché de extracción.

  • Al extraer imágenes mediante caché de extracción, los puntos de conexión de servicio de FIPS de Amazon ECR no se admiten la primera vez que se extrae una imagen. Sin embargo, el uso de los puntos de conexión de servicio de FIPS de Amazon ECR funciona en extracciones posteriores.

  • Cuando una imagen almacenada en caché se extrae a través del URI del registro privado de Amazon ECR, las extracciones de imágenes se inician mediante direcciones IP de AWS. Esto garantiza que la extracción de imágenes no se tenga en cuenta en ninguna cuota de tasa de extracción implementada por el registro ascendente.

  • Cuando una imagen almacenada en caché se extrae a través del URI del registro privado de Amazon ECR, Amazon ECR comprueba el repositorio ascendente al menos una vez cada 24 horas para verificar si la imagen almacenada en caché es la última versión. Si hay una imagen más reciente en el registro original, Amazon ECR intenta actualizar la imagen en caché. Este temporizador se basa en la última extracción de la imagen almacenada en caché.

  • Si Amazon ECR no puede actualizar la imagen desde el registro original por algún motivo y se extrae la imagen, se seguirá extrayendo la última imagen en caché.

  • Al crear el secreto de Secrets Manager que contiene las credenciales de registro anteriores, el nombre del secreto debe usar el ecr-pullthroughcache/ prefijo. El secreto también debe estar en la misma cuenta y región en las que se creó la regla de caché de extracción.

  • Cuando se extrae una imagen multiarquitectura mediante una regla de caché de extracción, la lista de manifiestos y cada imagen a la que se hace referencia en la lista de manifiestos se extraen al repositorio de Amazon ECR. Si solo desea extraer una arquitectura específica, puede extraer la imagen mediante el resumen de imagen o la etiqueta asociada a la arquitectura en lugar de la etiqueta asociada a la lista de manifiestos.

  • Amazon ECR utiliza un rol de IAM vinculada al servicio, que proporciona los permisos necesarios para que Amazon ECR cree el repositorio, recupere el valor secreto de Secrets Manager para la autenticación y envíe la imagen almacenada en caché en su nombre. El rol de IAM vinculado a servicios se crea automáticamente cuando se crea una regla de caché de extracción. Para obtener más información, consulte Función ECR vinculada al servicio de Amazon para extraer memoria caché.

  • De forma predeterminada, la entidad principal de IAM que extrae la imagen almacenada en caché tiene los permisos otorgados a través de su política de IAM. Puede utilizar la política de permisos de registro privado de Amazon ECR para ampliar los permisos de una entidad de IAM. Para obtener más información, consulte Uso de permisos de registro.

  • Los repositorios de Amazon ECR creados mediante el flujo de trabajo de caché de extracción se tratan como cualquier otro repositorio de Amazon ECR. Se admiten todas las características del repositorio, como la replicación y el escaneo de imágenes.

  • Cuando Amazon ECR crea un repositorio nuevo en su nombre mediante una acción de caché de extracción, se aplican las siguientes configuraciones predeterminadas al repositorio, a menos que haya una plantilla de creación de repositorios coincidente. Puede utilizar una plantilla de creación de repositorios para definir la configuración que se aplicará a los repositorios creados por Amazon ECR en su nombre. Para obtener más información, consulte Plantillas para controlar los repositorios creados durante una acción de extracción, caché o replicación.

    • Inmutabilidad de las etiquetas: si están desactivadas, las etiquetas son mutables y se pueden sobrescribir.

    • Cifrado: se usa el cifrado predeterminado AES256.

    • Permisos de repositorio: omitidos, no se aplica ninguna política de permisos de repositorio.

    • Política de ciclo de vida: si se omite, no se aplica ninguna política de ciclo de vida.

    • Etiquetas de recursos: se omiten, no se aplica ninguna etiqueta de recursos.

  • Al activar la inmutabilidad de las etiquetas de imagen en los repositorios mediante una regla de caché de extracción impedirá que Amazon ECR actualice las imágenes que utilicen la misma etiqueta.

  • Cuando se extrae una imagen mediante la regla de caché de extracción por primera vez, es posible que se requiera una ruta a Internet. Hay ciertas circunstancias en las que se requiere una ruta a Internet, por lo que es mejor configurar una ruta para evitar errores. Por lo tanto, si ha configurado Amazon ECR para utilizar un punto de conexión de VPC de la interfaz con AWS PrivateLink, debe asegurarse de que la primera extracción tenga una ruta a Internet. Una forma de hacerlo es crear una subred pública en la misma VPC, con una puerta de enlace de Internet, y luego enrutar todo el tráfico saliente a Internet desde su subred privada a la subred pública. Esto no será necesario la próxima vez que realice una extracción de imágenes mediante la regla de caché de extracción. Para obtener más información, consulte Opciones de enrutamiento de ejemplo en la guía de usuarios de Amazon Virtual Private Cloud.