Sincronice un registro anterior con un registro privado de Amazon ECR - Amazon ECR
Plantillas de creación de repositoriosConsideraciones sobre el uso de las reglas de extracción de caché

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sincronice un registro anterior con un registro privado de Amazon ECR

Mediante las reglas de extracción de caché, puede sincronizar el contenido de un registro anterior con su registro privado de Amazon ECR.

Amazon ECR permite actualmente crear reglas de caché de extracción para los siguientes registros de extracción.

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry y GitLab Container Registry (requiere autenticación)

  • Amazon ECR Public, el registro de imágenes de contenedores de Kubernetes y Quay (no requiere autenticación)

En el GitLab caso de Container Registry, Amazon ECR solo admite la extracción de caché con GitLab software-as-a-service offer, GitLab .com.

En el caso de los registros originales que requieren autenticación, debe almacenar sus credenciales en secreto. AWS Secrets Manager La consola Amazon ECR le facilita la creación del secreto de Secrets Manager para cada uno de los registros ascendentes autenticados. Para obtener más información sobre la creación de un secreto de Secrets Manager mediante la consola de Secrets Manager, consulteAlmacenar en secreto las credenciales del repositorio principal AWS Secrets Manager.

Después de crear una regla de caché de extracción para el registro principal, simplemente extraiga una imagen de ese registro anterior mediante el URI de su registro privado de Amazon ECR. A continuación, Amazon ECR crea un repositorio y guarda en caché la imagen en su registro privado. En las solicitudes de extracción posteriores de la imagen almacenada en caché con una etiqueta determinada, Amazon ECR comprueba el registro principal para ver si hay una nueva versión de la imagen con esa etiqueta específica e intenta actualizar la imagen en su registro privado al menos una vez cada 24 horas.

Plantillas de creación de repositorios

Amazon ECR ha agregado soporte para las plantillas de creación de repositorios, actualmente en versión preliminar, lo que le permite especificar las configuraciones iniciales de los nuevos repositorios creados por Amazon ECR en su nombre mediante reglas de caché de extracción. Cada plantilla contiene un prefijo de espacio de nombres de repositorio que se utiliza para hacer coincidir los nuevos repositorios con una plantilla específica. Las plantillas pueden especificar la configuración de todos los ajustes del repositorio, incluidas las políticas de acceso basadas en los recursos, la inmutabilidad de las etiquetas, el cifrado y las políticas de ciclo de vida. La configuración de una plantilla de creación de repositorios solo se aplica durante la creación del repositorio y no tiene ningún efecto en los repositorios existentes ni en los repositorios creados mediante cualquier otro método. Para obtener más información, consulte Plantillas para controlar los repositorios creados durante una acción de extracción de caché.

Consideraciones sobre el uso de las reglas de extracción de caché

Tenga en cuenta lo siguiente cuando utilice las reglas de extracción de caché de Amazon ECR.

  • La creación de reglas de caché de extracción no se admite en las siguientes regiones.

    • China (Pekín) (cn-north-1)

    • China (Ningxia) (cn-northwest-1)

    • AWS GovCloud (Este de EE. UU.) () us-gov-east-1

    • AWS GovCloud (EEUU-Oeste) () us-gov-west-1

  • AWS Lambda no admite la extracción de imágenes de contenedores de Amazon ECR mediante una regla de extracción de caché.

  • Al extraer imágenes mediante caché de extracción, los puntos de conexión de servicio de FIPS de Amazon ECR no se admiten la primera vez que se extrae una imagen. Sin embargo, el uso de los puntos de conexión de servicio de FIPS de Amazon ECR funciona en extracciones posteriores.

  • Cuando se extrae una imagen en caché a través del URI del registro privado de Amazon ECR, las extracciones de imágenes se inician mediante AWS direcciones IP. Esto garantiza que la extracción de imágenes no se tenga en cuenta en ninguna cuota de tasa de extracción implementada por el registro ascendente.

  • Cuando una imagen almacenada en caché se extrae a través del URI del registro privado de Amazon ECR, Amazon ECR comprueba el repositorio ascendente al menos una vez cada 24 horas para verificar si la imagen almacenada en caché es la última versión. Si hay una imagen más reciente en el registro original, Amazon ECR intenta actualizar la imagen en caché. Este temporizador se basa en la última extracción de la imagen almacenada en caché.

  • Si Amazon ECR no puede actualizar la imagen desde el registro original por algún motivo y se extrae la imagen, se seguirá extrayendo la última imagen en caché.

  • Al crear el secreto de Secrets Manager que contiene las credenciales de registro anteriores, el nombre del secreto debe usar el ecr-pullthroughcache/ prefijo. El secreto también debe estar en la misma cuenta y región en las que se creó la regla de caché de extracción.

  • Cuando se extrae una imagen multiarquitectura mediante una regla de caché de extracción, la lista de manifiestos y cada imagen a la que se hace referencia en la lista de manifiestos se extraen al repositorio de Amazon ECR. Si solo desea extraer una arquitectura específica, puede extraer la imagen mediante el resumen de imagen o la etiqueta asociada a la arquitectura en lugar de la etiqueta asociada a la lista de manifiestos.

  • Amazon ECR utiliza un rol de IAM vinculada al servicio, que proporciona los permisos necesarios para que Amazon ECR cree el repositorio, recupere el valor secreto de Secrets Manager para la autenticación y envíe la imagen almacenada en caché en su nombre. El rol de IAM vinculado a servicios se crea automáticamente cuando se crea una regla de caché de extracción. Para obtener más información, consulte Rol vinculado a servicios de Amazon ECR para la caché de extracción.

  • De forma predeterminada, la entidad principal de IAM que extrae la imagen almacenada en caché tiene los permisos otorgados a través de su política de IAM. Puede utilizar la política de permisos de registro privado de Amazon ECR para ampliar los permisos de una entidad de IAM. Para obtener más información, consulte Uso de permisos de registro.

  • Los repositorios de Amazon ECR creados mediante el flujo de trabajo de caché de extracción se tratan como cualquier otro repositorio de Amazon ECR. Se admiten todas las características del repositorio, como la replicación y el escaneo de imágenes.

  • Cuando Amazon ECR crea un repositorio nuevo en su nombre mediante una acción de caché de extracción, se aplican las siguientes configuraciones predeterminadas al repositorio, a menos que haya una plantilla de creación de repositorios coincidente. Puede utilizar una plantilla de creación de repositorios para definir la configuración que se aplicará a los repositorios creados por Amazon ECR en su nombre. Para obtener más información, consulte Plantillas para controlar los repositorios creados durante una acción de extracción de caché.

    • Inmutabilidad de las etiquetas: si están desactivadas, las etiquetas son mutables y se pueden sobrescribir.

    • Cifrado: se usa el cifrado predeterminado AES256.

    • Permisos de repositorio: omitidos, no se aplica ninguna política de permisos de repositorio.

    • Política de ciclo de vida: si se omite, no se aplica ninguna política de ciclo de vida.

    • Etiquetas de recursos: se omiten, no se aplica ninguna etiqueta de recursos.

  • Al activar la inmutabilidad de las etiquetas de imagen en los repositorios mediante una regla de caché de extracción impedirá que Amazon ECR actualice las imágenes que utilicen la misma etiqueta.

  • Cuando se extrae una imagen utilizando la regla de extracción de memoria caché por primera vez, es posible que se requiera una ruta a Internet. Hay ciertas circunstancias en las que se requiere una ruta a Internet, por lo que es mejor configurar una ruta para evitar cualquier fallo. Por lo tanto, si ha configurado Amazon ECR para que utilice una interfaz que AWS PrivateLink utilice un punto de enlace de VPC, debe asegurarse de que la primera extracción tenga una ruta a Internet. Una forma de hacerlo es crear una subred pública en la misma VPC, con una puerta de enlace a Internet, y luego enrutar todo el tráfico saliente a Internet desde su subred privada a la subred pública. La posterior extracción de imágenes mediante la regla de extracción de memoria caché no requiere esta opción. Para obtener más información, consulte Opciones de enrutamiento de ejemplo en la guía de usuarios de Amazon Virtual Private Cloud.