Criar uma regra de cache de pull-through no Amazon ECR - Amazon ECR
Pré-requisitosUsando o AWS Management ConsoleUsando o AWS CLIPróximas etapas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar uma regra de cache de pull-through no Amazon ECR

Para cada registro upstream que contenha imagens que você deseja armazenar em cache no registro privado do Amazon ECR, é necessário criar uma regra de cache de pull-through.

Para registros upstream que exigem autenticação, você deve armazenar as credenciais em um segredo do Secrets Manager. Você pode usar uma senha existente do ou criar outra. Você pode criar o segredo do Secrets Manager no console do Amazon ECR ou no do Secrets Manager. Para criar um segredo do Secrets Manager usando o console do Secrets Manager em vez do console do Amazon ECR, consulte Armazenando suas credenciais do repositório upstream em segredo AWS Secrets Manager.

Pré-requisitos

  • Verifique se você tem as permissões adequadas do IAM para criar regras de cache de pull-through. Para ter mais informações, consulte Permissões do IAM necessárias para sincronizar um registro upstream com um registro privado do Amazon ECR.

  • Para registros upstream que exigem autenticação: se você quiser usar um segredo existente, verifique se o segredo do Secrets Manager atende aos seguintes requisitos:

    • O nome do segredo começa com ecr-pullthroughcache/. O AWS Management Console só exibe segredos do Secrets Manager com o prefixo ecr-pullthroughcache/.

    • A conta e a região em que o segredo está devem corresponder à conta e à região em que a regra de cache de pull-through está.

Para criar uma regra de cache de pull-through (AWS Management Console)

As etapas a seguir mostram como criar uma regra do cache de pull-through e um segredo do Secrets Manager usando o console do Amazon ECR. Para criar um segredo usando o console do Secrets Manager, consulte Armazenando suas credenciais do repositório upstream em segredo AWS Secrets Manager.

  1. Abra o console do Amazon ECR em https://console.aws.amazon.com/ecr/.

  2. Na barra de navegação, selecione a região para a qual deseja ajustar as configurações do registro privado.

  3. No painel de navegação, escolha Private registry (Registro privado), Pull through cache (Cache de pull-through).

  4. Na página Pull through cache configuration (Configuração do cache de pull-through), escolha Add rule (Adicionar regra).

  5. Na Etapa 1: especificar uma página de origem, em Registro, escolha Amazon ECR Public, Kubernetes ou Quay na lista de registros upstream e, em seguida, escolha Avançar.

  6. Na Etapa 2: especificar uma página de destino, para o prefixo do repositório Amazon ECR, especifique o prefixo do namespace do repositório a ser usado ao armazenar em cache imagens retiradas do registro público de origem e escolha Avançar. Um namespace é preenchido por padrão, mas também é possível especificar um namespace personalizado.

  7. Na página Etapa 3: Revisar e criar, revise a configuração da regra de cache de pull-through e escolha Criar.

  8. Repita a etapa anterior para cada cache de pull-through que deseja criar. As regras de cache de pull-through são criadas separadamente para cada região.

  1. Abra o console do Amazon ECR em https://console.aws.amazon.com/ecr/.

  2. Na barra de navegação, selecione a região para a qual deseja ajustar as configurações do registro privado.

  3. No painel de navegação, escolha Private registry (Registro privado), Pull through cache (Cache de pull-through).

  4. Na página Pull through cache configuration (Configuração do cache de pull-through), escolha Add rule (Adicionar regra).

  5. Na Etapa 1: especificar uma página de origem, em Registro, escolha Docker Hub, Avançar.

  6. Na página Etapa 2: configurar autenticação, para credenciais do Upstream, você deve armazenar suas credenciais de autenticação para o Docker Hub em um segredo AWS Secrets Manager . Você pode especificar um segredo existente ou usar o console do Amazon ECR para criar um novo segredo.

    1. Para usar um segredo existente, escolha Usar um AWS segredo existente. Em Nome secreto, use o menu suspenso para selecionar seu segredo existente e, em seguida, escolha Avançar.

      nota

      AWS Management Console Só exibe segredos do Secrets Manager com nomes usando o ecr-pullthroughcache/ prefixo. O segredo também deve estar na mesma conta e região em que a regra de cache de pull-through foi criada.

    2. Para criar um novo segredo, escolha Criar um AWS segredo, faça o seguinte e escolha Avançar.

      1. Em Nome secreto, especifique um nome descritivo para o segredo. Os nomes de segredos devem conter de 1 a 512 caracteres Unicode.

      2. Em E-mail do Docker Hub, especifique o e-mail do Docker Hub.

      3. Para o token de acesso do Docker Hub, especifique seu token de acesso do Docker Hub. Para obter mais informações sobre como criar um token de acesso do Docker Hub, consulte Criar e gerenciar tokens de acesso na documentação do Docker.

  7. Na Etapa 3: especificar uma página de destino, para o prefixo do repositório Amazon ECR, especifique o namespace do repositório a ser usado ao armazenar em cache imagens retiradas do registro público de origem e escolha Avançar.

    Um namespace é preenchido por padrão, mas também é possível especificar um namespace personalizado.

  8. Na página Etapa 4: revisar e criar, revise a configuração da regra de cache de pull-through e escolha Criar.

  9. Repita a etapa anterior para cada cache de pull-through que deseja criar. As regras de cache de pull-through são criadas separadamente para cada região.

  1. Abra o console do Amazon ECR em https://console.aws.amazon.com/ecr/.

  2. Na barra de navegação, selecione a região para a qual deseja ajustar as configurações do registro privado.

  3. No painel de navegação, escolha Private registry (Registro privado), Pull through cache (Cache de pull-through).

  4. Na página Pull through cache configuration (Configuração do cache de pull-through), escolha Add rule (Adicionar regra).

  5. Na Etapa 1: Especificar uma página de origem, em Registro, escolha Registro de GitHub contêiner, Avançar.

  6. Na página Etapa 2: Configurar autenticação, para credenciais do Upstream, você deve armazenar suas credenciais de autenticação para o GitHub Container Registry em um segredo. AWS Secrets Manager Você pode especificar um segredo existente ou usar o console do Amazon ECR para criar um novo segredo.

    1. Para usar um segredo existente, escolha Usar um AWS segredo existente. Em Nome secreto, use o menu suspenso para selecionar seu segredo existente e, em seguida, escolha Avançar.

      nota

      AWS Management Console Só exibe segredos do Secrets Manager com nomes usando o ecr-pullthroughcache/ prefixo. O segredo também deve estar na mesma conta e região em que a regra de cache de pull-through foi criada.

    2. Para criar um novo segredo, escolha Criar um AWS segredo, faça o seguinte e escolha Avançar.

      1. Em Nome secreto, especifique um nome descritivo para o segredo. Os nomes de segredos devem conter de 1 a 512 caracteres Unicode.

      2. Para nome de usuário do GitHub Container Registry, especifique seu nome de usuário do GitHub Container Registry

      3. Para o token de acesso do GitHub Container Registry, especifique seu token de acesso do GitHub Container Registry. Para obter mais informações sobre a criação de um token de GitHub acesso, consulte Gerenciando seus tokens de acesso pessoais na GitHub documentação.

  7. Na Etapa 3: especificar uma página de destino, para o prefixo do repositório Amazon ECR, especifique o namespace do repositório a ser usado ao armazenar em cache imagens retiradas do registro público de origem e escolha Avançar.

    Um namespace é preenchido por padrão, mas também é possível especificar um namespace personalizado.

  8. Na página Etapa 4: revisar e criar, revise a configuração da regra de cache de pull-through e escolha Criar.

  9. Repita a etapa anterior para cada cache de pull-through que deseja criar. As regras de cache de pull-through são criadas separadamente para cada região.

  1. Abra o console do Amazon ECR em https://console.aws.amazon.com/ecr/.

  2. Na barra de navegação, selecione a região para a qual deseja ajustar as configurações do registro privado.

  3. No painel de navegação, escolha Private registry (Registro privado), Pull through cache (Cache de pull-through).

  4. Na página Pull through cache configuration (Configuração do cache de pull-through), escolha Add rule (Adicionar regra).

  5. Na Etapa 1: especificar uma página de origem, faça o seguinte.

    1. Em Registro, escolha Microsoft Azure Container Registry

    2. Em URL do registro de origem, especifique o nome do seu registro de contêiner do Microsoft Azure e escolha Avançar.

      Importante

      Você só precisa especificar o prefixo, pois o sufixo .azurecr.io é preenchido em seu nome.

  6. Na página Etapa 2: configurar autenticação, para credenciais do Upstream, você deve armazenar suas credenciais de autenticação para o Microsoft Azure Container Registry em um segredo AWS Secrets Manager . Você pode especificar um segredo existente ou usar o console do Amazon ECR para criar um novo segredo.

    1. Para usar um segredo existente, escolha Usar um AWS segredo existente. Em Nome secreto, use o menu suspenso para selecionar seu segredo existente e, em seguida, escolha Avançar.

      nota

      AWS Management Console Só exibe segredos do Secrets Manager com nomes usando o ecr-pullthroughcache/ prefixo. O segredo também deve estar na mesma conta e região em que a regra de cache de pull-through foi criada.

    2. Para criar um novo segredo, escolha Criar um AWS segredo, faça o seguinte e escolha Avançar.

      1. Em Nome secreto, especifique um nome descritivo para o segredo. Os nomes de segredos devem conter de 1 a 512 caracteres Unicode.

      2. Para o nome de usuário do Registro de Contêiner do Microsoft Azure, especifique seu nome de usuário do Registro de Contêiner do Microsoft Azure.

      3. Para o token de acesso do Registro de Contêiner do Microsoft Azure, especifique seu token de acesso do Registro de Contêiner do Microsoft Azure. Para obter mais informações sobre a criação de um token de acesso ao Registro de Contêiner do Microsoft Azure, consulte Criar token - portal na documentação do Microsoft Azure.

  7. Na Etapa 3: especificar uma página de destino, para o prefixo do repositório Amazon ECR, especifique o namespace do repositório a ser usado ao armazenar em cache imagens retiradas do registro público de origem e escolha Avançar.

    Um namespace é preenchido por padrão, mas também é possível especificar um namespace personalizado.

  8. Na página Etapa 4: revisar e criar, revise a configuração da regra de cache de pull-through e escolha Criar.

  9. Repita a etapa anterior para cada cache de pull-through que deseja criar. As regras de cache de pull-through são criadas separadamente para cada região.

  1. Abra o console do Amazon ECR em https://console.aws.amazon.com/ecr/.

  2. Na barra de navegação, selecione a região para a qual deseja ajustar as configurações do registro privado.

  3. No painel de navegação, escolha Private registry (Registro privado), Pull through cache (Cache de pull-through).

  4. Na página Pull through cache configuration (Configuração do cache de pull-through), escolha Add rule (Adicionar regra).

  5. Na Etapa 1: Especificar uma página de origem, em Registro, escolha Registro de GitLab contêiner, Avançar.

  6. Na página Etapa 2: Configurar autenticação, para credenciais do Upstream, você deve armazenar suas credenciais de autenticação para o GitLab Container Registry em um segredo. AWS Secrets Manager Você pode especificar um segredo existente ou usar o console do Amazon ECR para criar um novo segredo.

    1. Para usar um segredo existente, escolha Usar um AWS segredo existente. Em Nome secreto, use o menu suspenso para selecionar seu segredo existente e, em seguida, escolha Avançar. Para obter mais informações sobre como criar um segredo no Secrets Manager usando o console do Secrets Manager, consulte Armazenando suas credenciais do repositório upstream em segredo AWS Secrets Manager.

      nota

      AWS Management Console Só exibe segredos do Secrets Manager com nomes usando o ecr-pullthroughcache/ prefixo. O segredo também deve estar na mesma conta e região em que a regra de cache de pull-through foi criada.

    2. Para criar um novo segredo, escolha Criar um AWS segredo, faça o seguinte e escolha Avançar.

      1. Em Nome secreto, especifique um nome descritivo para o segredo. Os nomes de segredos devem conter de 1 a 512 caracteres Unicode.

      2. Para nome de usuário do GitLab Container Registry, especifique seu nome de usuário do GitLab Container Registry

      3. Para o token de acesso do GitLab Container Registry, especifique seu token de acesso do GitLab Container Registry. Para obter mais informações sobre a criação de um token de acesso ao GitLab Container Registry, consulte Tokens de acesso pessoal, Tokens de acesso de grupo ou Tokens de acesso ao projeto, na GitLab documentação.

  7. Na Etapa 3: especificar uma página de destino, para o prefixo do repositório Amazon ECR, especifique o namespace do repositório a ser usado ao armazenar em cache imagens retiradas do registro público de origem e escolha Avançar.

    Um namespace é preenchido por padrão, mas também é possível especificar um namespace personalizado.

  8. Na página Etapa 4: revisar e criar, revise a configuração da regra de cache de pull-through e escolha Criar.

  9. Repita a etapa anterior para cada cache de pull-through que deseja criar. As regras de cache pull-through são criadas separadamente para cada região.

Para criar uma regra de cache de pull-through (AWS CLI)

Use o AWS CLI comando create-pull-through-cache-rule para criar uma regra de cache pull through para um registro privado do Amazon ECR. Para registros de upstream que exigem autenticação, você deve armazenar as credenciais em um segredo do Secrets Manager. Para criar um segredo usando o console do Secrets Manager, consulte Armazenando suas credenciais do repositório upstream em segredo AWS Secrets Manager.

Os exemplos a seguir são fornecidos para cada registro upstream compatível.

O exemplo a seguir cria uma regra de cache de pull-through para o registro público do Amazon ECR. Ele especifica um prefixo de repositório de ecr-public, o que faz com que cada repositório criado usando a regra de cache de pull-through receba o esquema de nomes de ecr-public/upstream-repository-name.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix ecr-public \
     --upstream-registry-url public.ecr.aws \
     --region us-east-2

O exemplo a seguir cria uma regra de cache de pull-through para o registro público do Kubernetes. Ele especifica um prefixo de repositório de kubernetes, o que faz com que cada repositório criado usando a regra de cache de pull-through receba o esquema de nomes de kubernetes/upstream-repository-name.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix kubernetes \
     --upstream-registry-url registry.k8s.io \
     --region us-east-2

O exemplo a seguir cria uma regra de cache de pull-through para o registro público do Quay. Ele especifica um prefixo de repositório de quay, o que faz com que cada repositório criado usando a regra de cache de pull-through receba o esquema de nomes de quay/upstream-repository-name.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix quay \
     --upstream-registry-url quay.io \
     --region us-east-2

O exemplo a seguir cria uma regra de cache de pull-through para o registro do Docker Hub. Ele especifica um prefixo de repositório de docker-hub, o que faz com que cada repositório criado usando a regra de cache de pull-through receba o esquema de nomes de docker-hub/upstream-repository-name. É necessário especificar o nome completo do Amazon Resource Name (ARN) do segredo que contém suas credenciais do Docker Hub.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix docker-hub \
     --upstream-registry-url registry-1.docker.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

O exemplo a seguir cria uma regra de cache pull through para o GitHub Container Registry. Ele especifica um prefixo de repositório de docker-hub, o que faz com que cada repositório criado usando a regra de cache de pull-through receba o esquema de nomes de github/upstream-repository-name. Você deve especificar o Amazon Resource Name (ARN) completo do segredo que contém suas credenciais do GitHub Container Registry.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix github \
     --upstream-registry-url ghcr.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

O exemplo a seguir cria uma regra de cache de pull-through para o Microsoft Azure Container Registry. Ele especifica um prefixo de repositório de azure, o que faz com que cada repositório criado usando a regra de cache de pull-through receba o esquema de nomes de azure/upstream-repository-name. É necessário especificar o nome completo do Amazon Resource Name (ARN) do segredo que contém suas credenciais do Docker Hub.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix azure \
     --upstream-registry-url myregistry.azurecr.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

O exemplo a seguir cria uma regra de cache pull through para o GitLab Container Registry. Ele especifica um prefixo de repositório de gitlab, o que faz com que cada repositório criado usando a regra de cache de pull-through receba o esquema de nomes de gitlab/upstream-repository-name. Você deve especificar o Amazon Resource Name (ARN) completo do segredo que contém suas credenciais do GitLab Container Registry.

aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix gitlab \
     --upstream-registry-url registry.gitlab.com \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

Próximas etapas

Depois de criar as regras de cache de pull-through, as próximas etapas são as seguintes: