Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sinkronkan registri hulu dengan registri ECR pribadi Amazon
Menggunakan aturan pull through cache, Anda dapat menyinkronkan konten registri upstream dengan registri ECR pribadi Amazon Anda.
Amazon ECR saat ini mendukung pembuatan aturan pull through cache untuk pendaftar upstream berikut.
-
Docker Hub, Microsoft Azure Container Registry, Container Registry, dan GitHub GitLab Container Registry (Memerlukan otentikasi)
-
Amazon ECR Public, registri image container Kubernetes, dan Quay (Tidak memerlukan autentikasi)
Untuk GitLab Container Registry, Amazon ECR mendukung pull through cache hanya dengan GitLab software-as-a-service penawaran, GitLab .com.
Untuk registrasi hulu yang memerlukan otentikasi, Anda harus menyimpan kredensialnya secara rahasia. AWS Secrets Manager ECRKonsol Amazon memudahkan Anda untuk membuat rahasia Secrets Manager untuk setiap registri upstream yang diautentikasi. Untuk informasi selengkapnya tentang membuat rahasia Secrets Manager menggunakan konsol Secrets Manager, lihatMenyimpan kredensi repositori upstream Anda secara rahasia AWS Secrets Manager.
Setelah Anda membuat aturan cache pull through untuk registri upstream, cukup tarik gambar dari registri upstream menggunakan registri ECR pribadi Amazon Anda. URI Amazon ECR kemudian membuat repositori dan menyimpan gambar itu di registri pribadi Anda. Pada permintaan tarik Anda berikutnya dari gambar yang di-cache dengan tag yang diberikan, Amazon ECR memeriksa registri hulu untuk melihat apakah ada versi baru gambar dengan tag spesifik tersebut dan mencoba memperbarui gambar di registri pribadi Anda setidaknya sekali setiap 24 jam.
Templat pembuatan repositori
Amazon ECR telah menambahkan dukungan untuk template pembuatan repositori, yang memberi Anda kontrol untuk menentukan konfigurasi awal untuk repositori baru yang dibuat oleh ECR Amazon atas nama Anda menggunakan aturan pull through cache. Setiap template berisi awalan namespace repositori yang digunakan untuk mencocokkan repositori baru dengan template tertentu. Template dapat menentukan konfigurasi untuk semua pengaturan repositori termasuk kebijakan akses berbasis sumber daya, kekekalan tag, enkripsi, dan kebijakan siklus hidup. Pengaturan dalam template pembuatan repositori hanya diterapkan selama pembuatan repositori dan tidak berpengaruh pada repositori atau repositori yang ada yang dibuat menggunakan metode lain. Untuk informasi selengkapnya, lihat Template untuk mengontrol repositori yang dibuat selama penarikan melalui cache atau tindakan replikasi.
Pertimbangan untuk menggunakan aturan pull through cache
Pertimbangkan hal berikut saat menggunakan Amazon ECR pull through aturan cache.
-
Membuat aturan pull through cache tidak didukung di Wilayah berikut.
-
China (Beijing) (
cn-north-1
) -
China (Ningxia) (
cn-northwest-1
) -
AWS GovCloud (AS-Timur) (
us-gov-east-1
) -
AWS GovCloud (AS-Barat) (
us-gov-west-1
)
-
-
AWS Lambda tidak mendukung penarikan gambar kontainer dari Amazon ECR menggunakan aturan cache tarik.
-
Saat menarik gambar menggunakan cache tarik, titik akhir ECR FIPS layanan Amazon tidak didukung saat pertama kali gambar ditarik. Menggunakan titik akhir ECR FIPS layanan Amazon berfungsi pada penarikan berikutnya.
-
Ketika gambar yang di-cache ditarik melalui registri ECR pribadi AmazonURI, penarikan gambar dimulai oleh AWS alamat IP. Ini memastikan bahwa penarikan gambar tidak dihitung terhadap kuota tingkat tarik apa pun yang diterapkan oleh registri hulu.
-
Ketika gambar yang di-cache ditarik melalui registri ECR pribadi AmazonURI, Amazon ECR memeriksa repositori upstream setidaknya sekali setiap 24 jam untuk memverifikasi apakah gambar yang di-cache adalah versi terbaru. Jika ada gambar yang lebih baru di registri hulu, Amazon ECR mencoba memperbarui gambar yang di-cache. Timer ini didasarkan pada tarikan terakhir dari gambar yang di-cache.
-
Jika Amazon ECR tidak dapat memperbarui gambar dari registri hulu karena alasan apa pun dan gambar ditarik, gambar cache terakhir akan tetap ditarik.
-
Saat membuat rahasia Secrets Manager yang berisi kredensyal registri hulu, nama rahasia harus menggunakan awalan.
ecr-pullthroughcache/
Rahasianya juga harus berada di akun dan Wilayah yang sama tempat aturan pull through cache dibuat. -
Saat gambar multi-arsitektur ditarik menggunakan aturan cache pull through, daftar manifes dan setiap gambar yang direferensikan dalam daftar manifes ditarik ke repositori AmazonECR. Jika Anda hanya ingin menarik arsitektur tertentu, Anda dapat menarik gambar menggunakan intisari gambar atau tag yang terkait dengan arsitektur daripada tag yang terkait dengan daftar manifes.
-
Amazon ECR menggunakan IAM peran terkait layanan, yang menyediakan izin yang diperlukan Amazon ECR untuk membuat repositori, mengambil nilai rahasia Secrets Manager untuk otentikasi, dan mendorong gambar yang di-cache atas nama Anda. IAMPeran terkait layanan dibuat secara otomatis saat aturan pull through cache dibuat. Untuk informasi selengkapnya, lihat ECRPeran terkait layanan Amazon untuk menarik cache.
-
Secara default, IAM prinsipal yang menarik gambar yang di-cache memiliki izin yang diberikan kepada mereka melalui kebijakan merekaIAM. Anda dapat menggunakan kebijakan izin registri ECR pribadi Amazon untuk cakupan izin entitas lebih lanjut. IAM Untuk informasi selengkapnya, lihat Menggunakan izin registri.
-
ECRRepositori Amazon yang dibuat menggunakan alur kerja pull through cache diperlakukan seperti repositori Amazon lainnya. ECR Semua fitur repositori, seperti replikasi dan pemindaian gambar didukung.
-
Saat Amazon ECR membuat repositori baru atas nama Anda menggunakan tindakan pull through cache, pengaturan default berikut diterapkan ke repositori kecuali ada template pembuatan repositori yang cocok. Anda dapat menggunakan template pembuatan repositori untuk menentukan pengaturan yang diterapkan ke repositori yang dibuat oleh Amazon ECR atas nama Anda. Untuk informasi selengkapnya, lihat Template untuk mengontrol repositori yang dibuat selama penarikan melalui cache atau tindakan replikasi.
-
Kekekalan tag - Dimatikan, tag dapat berubah dan dapat ditimpa.
-
Enkripsi —
AES256
Enkripsi default digunakan. -
Izin repositori - Dihilangkan, tidak ada kebijakan izin repositori yang diterapkan.
-
Kebijakan siklus hidup - Dihilangkan, tidak ada kebijakan siklus hidup yang diterapkan.
-
Tag sumber daya - Dihilangkan, tidak ada tag sumber daya yang diterapkan.
-
-
Mengaktifkan kekekalan tag gambar untuk repositori menggunakan aturan cache tarik akan ECR mencegah Amazon memperbarui gambar menggunakan tag yang sama.
-
Ketika gambar ditarik menggunakan aturan pull through cache untuk pertama kalinya rute ke internet mungkin diperlukan. Ada keadaan tertentu di mana rute ke internet diperlukan sehingga yang terbaik adalah mengatur rute untuk menghindari kegagalan. Jadi, jika Anda telah mengonfigurasi Amazon ECR untuk menggunakan VPC titik akhir antarmuka menggunakan AWS PrivateLink maka Anda perlu memastikan tarikan pertama memiliki rute ke internet. Salah satu cara untuk melakukan ini adalah dengan membuat subnet publik yang samaVPC, dengan gateway internet, dan kemudian merutekan semua lalu lintas keluar ke internet dari subnet pribadi mereka ke subnet publik. Penarikan gambar berikutnya menggunakan aturan pull through cache tidak memerlukan ini. Untuk informasi selengkapnya, lihat Contoh opsi perutean di Panduan Pengguna Amazon Virtual Private Cloud.