Synchroniser un registre en amont avec un registre ECR privé Amazon - Amazon ECR
Modèles de création de référentielsConsidérations relatives à l'utilisation des règles du cache d'extraction

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Synchroniser un registre en amont avec un registre ECR privé Amazon

À l'aide des règles de cache d'extraction, vous pouvez synchroniser le contenu d'un registre en amont avec votre registre ECR privé Amazon.

Amazon prend ECR actuellement en charge la création de règles de cache d'extraction pour les registres en amont suivants.

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry et GitLab Container Registry (authentification requise)

  • Amazon ECR Public, le registre d'images de conteneurs Kubernetes et Quay (aucune authentification n'est requise)

Pour GitLab Container Registry, Amazon ECR prend en charge le pull through cache uniquement avec l' GitLab software-as-a-service offre GitLab .com.

Pour les registres en amont qui nécessitent une authentification, vous devez conserver vos informations d'identification de manière AWS Secrets Manager secrète. La ECR console Amazon vous permet de créer facilement le secret Secrets Manager pour chacun des registres authentifiés en amont. Pour plus d'informations sur la création d'un secret Secrets Manager à l'aide de la console Secrets Manager, consultezStockage AWS Secrets Manager secret des informations d'identification de votre référentiel en amont.

Après avoir créé une règle de cache d'extraction pour le registre en amont, il vous suffit d'extraire une image de ce registre en amont à l'aide de votre registre ECR privé AmazonURI. Amazon crée ECR ensuite un référentiel et met cette image en cache dans votre registre privé. Lors de vos requêtes d'extraction suivantes concernant l'image mise en cache avec une balise donnée, Amazon ECR vérifie dans le registre en amont s'il existe une nouvelle version de l'image avec cette balise spécifique et tente de mettre à jour l'image dans votre registre privé au moins une fois toutes les 24 heures.

Modèles de création de référentiels

Amazon ECR a ajouté la prise en charge des modèles de création de référentiels, actuellement en version préliminaire, qui vous permet de définir les configurations initiales pour les nouveaux référentiels créés par Amazon en votre ECR nom à l'aide de règles de cache d'extraction. Chaque modèle contient un préfixe d'espace de noms de référentiel qui est utilisé pour faire correspondre les nouveaux référentiels à un modèle spécifique. Les modèles peuvent spécifier la configuration de tous les paramètres du référentiel, y compris les politiques d'accès basées sur les ressources, l'immuabilité des balises, le chiffrement et les politiques de cycle de vie. Les paramètres d'un modèle de création de référentiel ne sont appliqués que lors de la création du référentiel et n'ont aucun effet sur les référentiels existants ou les référentiels créés à l'aide d'une autre méthode. Pour de plus amples informations, veuillez consulter Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication.

Considérations relatives à l'utilisation des règles du cache d'extraction

Tenez compte des points suivants lorsque vous utilisez les règles de cache d'Amazon ECR Pull-Through.

  • La création de règles de mise en cache par extraction n'est pas prise en charge dans les régions suivantes.

    • Chine (Beijing) (cn-north-1)

    • Chine (Ningxia) (cn-northwest-1)

    • AWS GovCloud (USA Est) (us-gov-east-1)

    • AWS GovCloud (US-Ouest) (us-gov-west-1)

  • AWS Lambda ne prend pas en charge l'extraction d'images de conteneurs depuis Amazon à ECR l'aide d'une règle de cache d'extraction.

  • Lorsque vous extrayez des images à l'aide du cache d'extraction, les points de terminaison du ECR FIPS service Amazon ne sont pas pris en charge la première fois qu'une image est extraite. L'utilisation des points ECR FIPS de terminaison du service Amazon fonctionne cependant lors des extractions suivantes.

  • Lorsqu'une image mise en cache est extraite via le registre ECR privé AmazonURI, les extractions d'image sont initiées par des adresses AWS IP. Cela garantit que l'extraction de l'image n'est pas comptabilisée dans les quotas de taux d'extraction implémenté par le registre en amont.

  • Lorsqu'une image mise en cache est extraite du registre ECR privé AmazonURI, Amazon ECR vérifie le référentiel en amont au moins une fois toutes les 24 heures pour vérifier si l'image mise en cache est la dernière version. S'il existe une image plus récente dans le registre en amont, Amazon ECR tente de mettre à jour l'image mise en cache. Ce délai est basé sur la dernière extraction de l'image mise en cache.

  • Si Amazon n'ECRest pas en mesure de mettre à jour l'image depuis le registre en amont pour quelque raison que ce soit et que l'image est extraite, la dernière image mise en cache sera quand même extraite.

  • Lors de la création du secret Secrets Manager qui contient les informations d'identification du registre en amont, le nom du secret doit utiliser le préfixe ecr-pullthroughcache/. Le secret doit également se trouver dans le même compte et dans la même région que ceux dans lesquels est créée la règle de mise en cache par extraction.

  • Lorsqu'une image multi-architecture est extraite à l'aide d'une règle de cache d'extraction, la liste des manifestes et chaque image référencée dans la liste des manifestes sont extraites vers le ECR référentiel Amazon. Si vous ne souhaitez extraire qu'une architecture spécifique, vous pouvez extraire l'image en utilisant le résumé d'image ou l'identification associée à l'architecture plutôt que l'identification associée à la liste de manifestes.

  • Amazon ECR utilise un IAM rôle lié à un service, qui fournit les autorisations nécessaires ECR à Amazon pour créer le référentiel, récupérer la valeur secrète de Secrets Manager à des fins d'authentification et envoyer l'image mise en cache en votre nom. Le IAM rôle lié à un service est créé automatiquement lorsqu'une règle de cache d'extraction est créée. Pour de plus amples informations, veuillez consulter Rôle ECR lié à un service Amazon pour le cache d'extraction.

  • Par défaut, le IAM principal qui extrait l'image mise en cache dispose des autorisations qui lui sont accordées par le biais de sa IAM politique. Vous pouvez utiliser la politique d'autorisation du registre ECR privé d'Amazon pour étendre davantage les autorisations d'une IAM entité. Pour de plus amples informations, veuillez consulter Utilisation des autorisations de registre.

  • ECRLes référentiels Amazon créés à l'aide du flux de travail de cache d'extraction sont traités comme n'importe quel autre ECR référentiel Amazon. Toutes les fonctions du référentiel, telles que la réplication et l'analyse d'images, sont prises en charge.

  • Lorsqu'Amazon ECR crée un nouveau référentiel en votre nom à l'aide d'une action de cache par extraction, les paramètres par défaut suivants sont appliqués au référentiel, sauf s'il existe un modèle de création de référentiel correspondant. Vous pouvez utiliser un modèle de création de référentiel pour définir les paramètres appliqués aux référentiels créés par Amazon en votre ECR nom. Pour de plus amples informations, veuillez consulter Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication.

    • Immuabilité des balises : désactivée, les balises sont mutables et peuvent être remplacées.

    • Chiffrement : on utilise le chiffrement par défaut AES256.

    • Autorisations du référentiel : omises, aucune politique d'autorisation de référentiel n'est appliquée.

    • Politique de cycle de vie : omise, aucune politique de cycle de vie n'est appliquée.

    • Balises de ressource : omises, aucune balise de ressource n'est appliquée.

  • L'activation de l'immuabilité des balises d'image pour les référentiels à l'aide d'une règle de cache d'extraction empêchera Amazon ECR de mettre à jour les images à l'aide de la même balise.

  • Lorsqu'une image est extraite à l'aide de la règle du cache d'extraction pour la première fois, un itinéraire vers Internet peut être nécessaire. Dans certaines circonstances, un itinéraire vers Internet est nécessaire, il est donc préférable de configurer un itinéraire pour éviter toute défaillance. Ainsi, si vous avez configuré Amazon ECR pour utiliser un point de VPC terminaison d'interface AWS PrivateLink , vous devez vous assurer que le premier pull dispose d'un itinéraire vers Internet. Pour ce faire, vous pouvez créer un sous-réseau public dans le même sous-réseauVPC, avec une passerelle Internet, puis acheminer tout le trafic sortant vers Internet depuis leur sous-réseau privé vers le sous-réseau public. Les extractions d'image suivantes à l'aide de la règle de cache d'extraction ne l'exigent pas. Pour de plus amples informations, consultez Exemples d'options de routage dans le Guide de l'utilisateur Amazon Virtual Private Cloud.