“将 Docker 映像发布到亚马逊ECR映像存储库” 示例 CodeBuild - AWS CodeBuild
运行 “将 Docker 镜像发布到亚马ECR逊” 示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

“将 Docker 映像发布到亚马逊ECR映像存储库” 示例 CodeBuild

此示例生成 Docker 镜像作为构建输出,然后将 Docker 镜像推送到亚马逊弹性容器注册表 ECR (亚马逊) 镜像存储库。您可以调整该示例以将 Docker 映像推送到 Docker Hub。有关更多信息,请参阅 调整 “将 Docker 镜像发布到亚马逊ECR” 示例以推送到 Docker Hub

要了解如何使用自定义 Docker 构建映像来构建 Docker 映像(Docker Hub 中的 docker:dind),请参阅我们的自定义映像示例中的 Docker

此示例参考 golang:1.12 进行了测试。

此示例使用新的多阶段 Docker 构建功能,该功能将生成一个 Docker 映像作为构建输出。然后,它会将 Docker 镜像推送到亚马逊ECR镜像存储库。多阶段 Docker 映像构建有助于减小最终 Docker 映像的大小。有关更多信息,请参阅将多阶段构建和 Docker 结合使用

重要

运行此示例可能会导致您的 AWS 账户被扣款。其中包括与 Amazon S3、、 AWS KMS L CloudWatch ogs 和 Amazon 相关的 AWS 资源和操作可能产生的费用ECR。 AWS CodeBuild 有关更多信息,请参阅CodeBuild 定价Amazon S3 定价AWS Key Management Service 定价亚马逊 CloudWatch 定价亚马逊弹性容器注册表定价

主题

运行 “将 Docker 镜像发布到亚马ECR逊” 示例

使用以下过程运行将 Docker 映像发布到 Amazon ECR 的示例。有关此示例的更多信息,请参阅。“将 Docker 映像发布到亚马逊ECR映像存储库” 示例 CodeBuild

要运行此示例,请执行以下操作:

  1. 如果您在 Amazon 中已经有ECR要使用的图像存储库,请跳至步骤 3。否则,如果您使用的是用户而不是 AWS 根账户或管理员用户来与 Amazon 合作ECR,请添加以下语句(介于 ### BEGIN ADDING STATEMENT HERE ### 以及 ### END ADDING STATEMENT HERE ###) 发送给用户(或与该用户关联的IAM组)。不建议使用 AWS 根账户。此语句允许创建用于存储 Docker 镜像的 Amazon 存储ECR库。为了简洁起见,也为了帮您查找添加语句的位置,此处使用了省略号 (...)。请勿删除任何语句,也不要将这些省略号键入策略中。有关更多信息,请参阅《用户指南》中的通过 AWS Management Console使用内联策略

    {
  "Statement": [
    ### BEGIN ADDING STATEMENT HERE ###
    {
      "Action": [
        "ecr:CreateRepository"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    ### END ADDING STATEMENT HERE ###
    ...
  ],
  "Version": "2012-10-17"
}
    注意

    修改此策略的IAM实体必须拥有修改策略IAM的权限。

  2. 在 Amazon 中创建镜像存储库ECR。请务必在创建构建环境和运行构建版本的同一 AWS 区域中创建存储库。有关更多信息,请参阅 Amazon ECR 用户指南中的创建存储库。该存储库的名称必须与您将在此过程的稍后部分指定的存储库名称相匹配,并以 IMAGE_REPO_NAME 环境变量的形式表示。确保 Amazon ECR 存储库策略为您的 CodeBuild服务IAM角色授予图片推送访问权限。

  3. 添加此语句(介于 ### BEGIN ADDING STATEMENT HERE ### 以及 ### END ADDING STATEMENT HERE ###) 添加到您附加到 AWS CodeBuild 服务角色的策略中。此声明允许 CodeBuild 将 Docker 镜像上传到亚马逊ECR存储库。为了简洁起见,也为了帮您查找添加语句的位置,此处使用了省略号 (...)。请勿删除任何语句,也不要将这些省略号键入策略中。

    {
  "Statement": [
    ### BEGIN ADDING STATEMENT HERE ###
    {
      "Action": [
        "ecr:BatchCheckLayerAvailability",
        "ecr:CompleteLayerUpload",
        "ecr:GetAuthorizationToken",
        "ecr:InitiateLayerUpload",
        "ecr:PutImage",
        "ecr:UploadLayerPart"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    ### END ADDING STATEMENT HERE ###
    ...
  ],
  "Version": "2012-10-17"
}
    注意

    修改此策略的IAM实体必须拥有修改策略IAM的权限。

  4. 按照本主题目录结构文件部分所述创建文件,然后将其上传到 S3 输入存储桶或 AWS CodeCommit GitHub、或 Bitbucket 存储库。有关更多信息,请参阅《AWS CodePipeline 用户指南》中的映像定义文件参考

    重要

    请不要上传 (root directory name),而只上传 (root directory name) 中的文件。

    如果您使用的是 S3 输入存储桶,请务必创建一个包含这些ZIP文件的文件,然后将其上传到输入存储桶。不要(root directory name)添加到ZIP文件中,只添加里面的文件(root directory name)

  5. 创建构建项目,运行构建,并查看构建信息。

    如果您使用控制台创建项目:

    1. 对于操作系统,选择 Ubuntu

    2. 对于运行时,选择标准

    3. 对于映像,选择 aws/codebuild/standard:5.0

    4. 添加以下环境变量:

      • AWSDEFAULT_REGION,值为 region-ID

      • AWS_ACCOUNT_ID其值为 account-ID

      • IMAGE_TAG,值为 “最新”

      • IMAGEREPO_NAME,值为 Amazon-ECR-repo-name

    如果您使用创建构建项目,则create-project命令的 JSON-格式输入可能与此类似。 AWS CLI (请将占位符替换为您自己的值。)

    {
  "name": "sample-docker-project",
  "source": {
    "type": "S3",
    "location": "codebuild-region-ID-account-ID-input-bucket/DockerSample.zip"
  },
  "artifacts": {
    "type": "NO_ARTIFACTS"
  },
  "environment": {
    "type": "LINUX_CONTAINER",
    "image": "aws/codebuild/standard:5.0",
    "computeType": "BUILD_GENERAL1_SMALL",
    "environmentVariables": [
      {
        "name": "AWS_DEFAULT_REGION",
        "value": "region-ID"
      },
      {
        "name": "AWS_ACCOUNT_ID",
        "value": "account-ID"
      },
      {
        "name": "IMAGE_REPO_NAME",
        "value": "Amazon-ECR-repo-name"
      },
      {
        "name": "IMAGE_TAG",
        "value": "latest"
      }
    ],
  },
  "serviceRole": "arn:aws:iam::account-ID:role/role-name",
  "encryptionKey": "arn:aws:kms:region-ID:account-ID:key/key-ID"
}

  6. 确认 CodeBuild 已成功将 Docker 镜像推送到存储库:

    1. 打开 Amazon ECR 控制台,网址为https://console.aws.amazon.com/ecr/

    2. 选择存储库名称。映像应在映像标签列中列出。

目录结构

此示例采用以下目录结构。

(root directory name)
├── buildspec.yml
└── Dockerfile

文件

此示例将使用这些文件。

buildspec.yml(在 (root directory name)

version: 0.2

phases:
  pre_build:
    commands:
      - echo Logging in to Amazon ECR...
      - aws ecr get-login-password --region $AWS_DEFAULT_REGION | docker login --username AWS --password-stdin $AWS_ACCOUNT_ID.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com
  build:
    commands:
      - echo Build started on `date`
      - echo Building the Docker image...          
      - docker build -t $IMAGE_REPO_NAME:$IMAGE_TAG .
      - docker tag $IMAGE_REPO_NAME:$IMAGE_TAG $AWS_ACCOUNT_ID.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com/$IMAGE_REPO_NAME:$IMAGE_TAG      
  post_build:
    commands:
      - echo Build completed on `date`
      - echo Pushing the Docker image...
      - docker push $AWS_ACCOUNT_ID.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com/$IMAGE_REPO_NAME:$IMAGE_TAG

Dockerfile(在 (root directory name)

FROM golang:1.12-alpine AS build
#Install git
RUN apk add --no-cache git
#Get the hello world package from a GitHub repository
RUN go get github.com/golang/example/hello
WORKDIR /go/src/github.com/golang/example/hello
# Build the project and send the output to /bin/HelloWorld 
RUN go build -o /bin/HelloWorld

FROM golang:1.12-alpine
#Copy the build's output binary from the previous build container
COPY --from=build /bin/HelloWorld /bin/HelloWorld
ENTRYPOINT ["/bin/HelloWorld"]
注意

CodeBuild 会替换自定义 Docker 镜像的。ENTRYPOINT