Sincronizar um registro upstream com um registro privado do Amazon ECR - Amazon ECR
Modelos de criação de repositórioConsiderações sobre o uso do cache de pull-through

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sincronizar um registro upstream com um registro privado do Amazon ECR

Com as regras de cache de pull-through, você pode sincronizar o conteúdo de um registro upstream com o registro privado do Amazon ECR.

No momento, o Amazon ECR oferece suporte à criação de regras de cache de pull-through para os seguintes registros upstream.

  • Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry e GitLab Container Registry (requer autenticação)

  • Amazon ECR Public, o registro de imagens de contêineres do Kubernetes e o Quay (não requer autenticação)

Para o GitLab Container Registry, o Amazon ECR é compatível com o cache de pull-through somente com a oferta de software como serviço do GitLab, Gitlab.com.

Para os registros upstream que exigem autenticação, você deve armazenar suas credenciais em segredo AWS Secrets Manager. O console do Amazon ECR facilita a criação do segredo do Secrets Manager para cada um dos registros upstream autenticados. Para obter mais informações sobre como criar um segredo no Secrets Manager usando o console do Secrets Manager, consulte Armazenando suas credenciais do repositório upstream em segredo AWS Secrets Manager.

Após uma regra de cache de pull-through para o registro upstream, basta extrair uma imagem desse registro upstream usando o URI de registro privado do Amazon ECR. Em seguida, o Amazon ECR cria um repositório e armazena essa imagem em cache no seu registro privado. Nas solicitações subsequentes de extração da imagem armazenada em cache com uma determinada tag, o Amazon ECR verifica o registro upstream para ver se há uma nova versão da imagem com essa tag específica e tenta atualizá-la no registro privado pelo menos uma vez a cada 24 horas.

Modelos de criação de repositório

O Amazon ECR adicionou suporte para modelos de criação de repositório, o que lhe dá o controle para especificar configurações iniciais para novos repositórios criados pelo Amazon ECR em seu nome usando regras de cache de pull-through. Cada modelo contém um prefixo de namespace do repositório que é usado para associar novos repositórios a um modelo específico. Os modelos podem especificar a configuração para todas as configurações do repositório, incluindo políticas de acesso baseadas em recursos, imutabilidade de tags, criptografia e políticas de ciclo de vida. As configurações em um modelo de criação de repositório são aplicadas apenas durante a criação do repositório e não têm efeito sobre repositórios existentes ou repositórios criados usando qualquer outro método. Para ter mais informações, consulte Modelos para controlar repositórios criados durante uma ação de cache de pull-through ou replicação.

Considerações sobre o uso do cache de pull-through

Os pontos a seguir devem ser considerados ao usar as regras do cache de pull-through do Amazon ECR.

  • A criação de regras de cache de pull-through não é aceita nas seguintes Regiões:

    • China (Pequim) (cn-north-1)

    • China (Ningxia) (cn-northwest-1)

    • AWS GovCloud (EUA-Leste) (us-gov-east-1)

    • AWS GovCloud (EUA-Oeste) (us-gov-west-1)

  • AWS Lambda não suporta a extração de imagens de contêineres do Amazon ECR usando uma regra de cache de pull-through.

  • Ao extrair imagens usando o cache de pull-through, os endpoints de serviço FIPS do Amazon ECR não são suportados na primeira vez que uma imagem é extraída. No entanto, usar os endpoints de serviço FIPS do Amazon ECR funciona em extrações subsequentes.

  • Quando uma imagem do cache de pull-through for extraída por meio do URI de registro privado do Amazon ECR, as extrações de imagem são iniciadas por endereços IP da AWS. Isso garante que o pull da imagem não seja contabilizado em nenhuma cota de taxa de pull implementada pelo registro upstream.

  • Quando uma imagem armazenada em cache é puxada por meio do URI do registro privado da Amazon ECR, o Amazon ECR verifica o repositório upstream pelo menos uma vez a cada 24 horas para verificar se a imagem em cache é a versão mais recente. Se houver uma imagem mais recente no registro upstream, o Amazon ECR tentará atualizar a imagem em cache. Este temporizador é baseado na última extração da imagem em cache.

  • Se o Amazon ECR não conseguir atualizar a imagem do registro upstream por qualquer motivo e a imagem for extraída, a última imagem em cache ainda será extraída.

  • Ao criar o segredo do Secrets Manager que contém as credenciais do registro upstream, o nome do segredo deve usar o prefixo ecr-pullthroughcache/. O segredo também deve estar na mesma conta e região em que a regra de cache de pull-through foi criada.

  • Quando uma imagem multiarquitetura é extraída por meio de uma regra de cache de pull-through, a lista de manifestos e cada imagem referenciada na lista de manifesto são extraídas para o repositório do Amazon ECR. Se desejar apenas extrair uma arquitetura específica, você poderá extrair a imagem usando o resumo da imagem ou a tag associada à arquitetura, em vez da tag associada à lista de manifesto.

  • O Amazon ECR utiliza um perfil do IAM vinculada ao serviço, que fornece as permissões necessárias para o Amazon ECR criar o repositório, recuperar o valor do segredo do Secrets Manager para autenticação e enviar a imagem armazenada em cache em seu nome. A função do IAM vinculada ao serviço é criada automaticamente quando uma regra de cache de pull-through é criada. Para ter mais informações, consulte Função ECR vinculada ao serviço da Amazon para cache de extração.

  • Por padrão, a entidade principal do IAM que está puxando a imagem armazenada em cache tem as permissões concedidas a ele por meio de sua política do IAM. Você pode usar a política de permissões de registro privado do Amazon ECR para aumentar o escopo das permissões de uma entidade do IAM. Para ter mais informações, consulte Usar permissões de registro.

  • Os repositórios do Amazon ECR criados usando o fluxo de trabalho de cache de pull-through são tratados como qualquer outro repositório do Amazon ECR. Todos os recursos do repositório, como replicação e verificação de imagens, são compatíveis.

  • Quando o Amazon ECR cria um novo repositório em seu nome usando uma ação de cache de pull-through, as seguintes configurações padrão são aplicadas ao repositório, a menos que haja um modelo correspondente de criação de repositório. Você pode usar um modelo de criação de repositório para definir as configurações aplicadas aos repositórios criados pelo Amazon ECR em seu nome. Para ter mais informações, consulte Modelos para controlar repositórios criados durante uma ação de cache de pull-through ou replicação.

    • Imutabilidade da tag — Desativada, as tags são mutáveis e podem ser sobrescritas.

    • Criptografia — A criptografia padrão do AES256 é usada.

    • Permissões do repositório — Omitida, nenhuma política de permissões do repositório é aplicada.

    • Política de ciclo de vida — omitida, nenhuma política de ciclo de vida é aplicada.

    • Tags de recursos — Omitidas, nenhuma tag de recurso é aplicada.

  • Ativar a imutabilidade da tag de imagem para repositórios usando uma regra de cache de pull-through impedirá que o Amazon ECR atualize imagens usando a mesma tag.

  • Quando uma imagem é extraída usando a regra de cache de pull-through pela primeira vez, uma rota para a internet pode ser necessária. Há certas circunstâncias em que uma rota para a internet é necessária, então é melhor configurar uma rota para evitar falhas. Portanto, caso tenha configurado o Amazon ECR para usar um endpoint da interface da VPC usando o AWS PrivateLink, você precisará garantir que a primeira extração tenha uma rota para a internet. Uma maneira de fazer isso é criar uma sub-rede pública na mesma VPC, com um gateway da internet. Em seguida, é preciso rotear todo o tráfego de saída da sub-rede privada para a sub-rede pública. As extrações subsequentes de imagem usando a regra de cache de pull-through não exigem isso. Para obter mais informações, consulte Opções de rotas de exemplos no Guia do usuário da Amazon Virtual Private Cloud.