CodeBuild 的“将 Docker 映像发布到 Amazon ECR 映像存储库”示例

该示例会生成一个 Docker 映像作为构建输出，然后将该 Docker 映像推送到 Amazon Elastic Container Registry（Amazon ECR）映像存储库。您可以调整该示例以将 Docker 映像推送到 Docker Hub。有关更多信息，请参阅调整“将 Docker 映像发布到 Amazon ECR”示例，将其推送到 Docker Hub。

要了解如何使用自定义 Docker 构建映像来构建 Docker 映像（Docker Hub 中的 docker:dind），请参阅我们的自定义映像示例中的 Docker。

此示例参考 golang:1.12 进行了测试。

此示例使用新的多阶段 Docker 构建功能，该功能将生成一个 Docker 映像作为构建输出。然后，它将 Docker 映像推送到 Amazon ECR 映像存储库。多阶段 Docker 映像构建有助于减小最终 Docker 映像的大小。有关更多信息，请参阅将多阶段构建和 Docker 结合使用。

重要

运行该示例可能会导致您的 AWS 账户产生相关费用。这包括 AWS CodeBuild 可能产生的费用，以及与 Amazon S3、AWS KMS、CloudWatch Logs 和 Amazon ECR 相关的 AWS 资源和操作可能产生的费用。有关更多信息，请参阅 CodeBuild 定价、Amazon S3 定价、AWS Key Management Service 定价、Amazon CloudWatch 定价和 Amazon Elastic Container Registry 定价。

主题

运行“将 Docker 映像发布到 Amazon ECR”示例

使用以下过程运行示例，将 Docker 映像发布到 Amazon ECR。有关此示例的更多信息，请参阅CodeBuild 的“将 Docker 映像发布到 Amazon ECR 映像存储库”示例。

要运行此示例，请执行以下操作：

如果 Amazon ECR 中已存在要使用的映像存储库，请跳至第 3 步。如果您通过用户而不是 AWS 根账户或管理员用户来使用 Amazon ECR，请向用户（或与用户关联的 IAM 组）添加此语句（在 ### BEGIN ADDING STATEMENT HERE ### 和 ### END ADDING STATEMENT HERE ### 之间)。建议不要使用 AWS 根账户。此语句允许创建用于存储 Docker 映像的 Amazon ECR 存储库。为了简洁起见，也为了帮您查找添加语句的位置，此处使用了省略号 (...)。请勿删除任何语句，也不要将这些省略号键入策略中。有关更多信息，请参阅《用户指南》中的通过 AWS Management Console 使用内联策略。
```
{
  "Statement": [
    ### BEGIN ADDING STATEMENT HERE ###
    {
      "Action": [
        "ecr:CreateRepository"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    ### END ADDING STATEMENT HERE ###
    ...
  ],
  "Version": "2012-10-17"
}
```
注意
修改该策略的 IAM 实体必须拥有在 IAM 中修改策略的权限。
在 Amazon ECR 中创建映像存储库。请务必在从中创建构建环境并运行构建的同一 AWS 区域中创建存储库。有关更多信息，请参阅《Amazon ECR 用户指南》中的创建存储库。该存储库的名称必须与您将在此过程的稍后部分指定的存储库名称相匹配，并以 IMAGE_REPO_NAME 环境变量的形式表示。确保 Amazon ECR 存储库策略为您的 CodeBuild 服务 IAM 角色授予映像推送访问权限。
将此语句（在 ### BEGIN ADDING STATEMENT HERE ### 和 ### END ADDING STATEMENT HERE ### 之间）添加到已附加到您的 AWS CodeBuild 服务角色的策略。CodeBuild 可使用此语句将 Docker 映像上传到 Amazon ECR 存储库。为了简洁起见，也为了帮您查找添加语句的位置，此处使用了省略号 (...)。请勿删除任何语句，也不要将这些省略号键入策略中。
```
{
  "Statement": [
    ### BEGIN ADDING STATEMENT HERE ###
    {
      "Action": [
        "ecr:BatchCheckLayerAvailability",
        "ecr:CompleteLayerUpload",
        "ecr:GetAuthorizationToken",
        "ecr:InitiateLayerUpload",
        "ecr:PutImage",
        "ecr:UploadLayerPart"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    ### END ADDING STATEMENT HERE ###
    ...
  ],
  "Version": "2012-10-17"
}
```
注意
修改该策略的 IAM 实体必须拥有在 IAM 中修改策略的权限。
按照本主题的目录结构和文件部分的说明创建文件，然后将其上传到 S3 输入存储桶或者上传到 AWS CodeCommit、GitHub 或 Bitbucket 存储库。有关更多信息，请参阅《AWS CodePipeline 用户指南》中的映像定义文件参考。

重要
请不要上传 (root directory name)，而只上传 (root directory name) 中的文件。
如果您使用的是 S3 输入存储桶，请务必创建一个包含这些文件的 ZIP 文件，然后将其上传到输入存储桶。请不要将 (root directory name) 添加到 ZIP 文件中，而只添加 (root directory name) 中的文件。

创建构建项目、运行构建和查看构建信息。

如果您使用控制台创建项目：

对于操作系统，选择 Ubuntu。
对于运行时，选择标准。
对于映像，选择 aws/codebuild/standard:5.0。
添加以下环境变量：
- AWS_DEFAULT_REGION，值为 region-ID
- AWS_ACCOUNT_ID，值为 account-ID
- 具有最新值的 IMAGE_TAG
- IMAGE_REPO_NAME，值为 Amazon ECR-repo-name

如果您使用 AWS CLI 创建构建项目，则 create-project 命令的 JSON 格式输入可能与此类似。（请将占位符替换为您自己的值。）


{
  "name": "sample-docker-project",
  "source": {
    "type": "S3",
    "location": "codebuild-region-ID-account-ID-input-bucket/DockerSample.zip"
  },
  "artifacts": {
    "type": "NO_ARTIFACTS"
  },
  "environment": {
    "type": "LINUX_CONTAINER",
    "image": "aws/codebuild/standard:5.0",
    "computeType": "BUILD_GENERAL1_SMALL",
    "environmentVariables": [
      {
        "name": "AWS_DEFAULT_REGION",
        "value": "region-ID"
      },
      {
        "name": "AWS_ACCOUNT_ID",
        "value": "account-ID"
      },
      {
        "name": "IMAGE_REPO_NAME",
        "value": "Amazon-ECR-repo-name"
      },
      {
        "name": "IMAGE_TAG",
        "value": "latest"
      }
    ],
  },
  "serviceRole": "arn:aws:iam::account-ID:role/role-name",
  "encryptionKey": "arn:aws:kms:region-ID:account-ID:key/key-ID"
}

确认 CodeBuild 已成功将 Docker 映像推送到存储库：
1. 打开 Amazon ECR 控制台：https://console.aws.amazon.com/ecr/。
2. 选择存储库名称。映像应在映像标签列中列出。

目录结构

此示例采用以下目录结构。


(root directory name)
├── buildspec.yml
└── Dockerfile

文件

此示例将使用这些文件。

buildspec.yml（在 (root directory name)）


version: 0.2

phases:
  pre_build:
    commands:
      - echo Logging in to Amazon ECR...
      - aws ecr get-login-password --region $AWS_DEFAULT_REGION | docker login --username AWS --password-stdin $AWS_ACCOUNT_ID.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com
  build:
    commands:
      - echo Build started on `date`
      - echo Building the Docker image...          
      - docker build -t $IMAGE_REPO_NAME:$IMAGE_TAG .
      - docker tag $IMAGE_REPO_NAME:$IMAGE_TAG $AWS_ACCOUNT_ID.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com/$IMAGE_REPO_NAME:$IMAGE_TAG      
  post_build:
    commands:
      - echo Build completed on `date`
      - echo Pushing the Docker image...
      - docker push $AWS_ACCOUNT_ID.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com/$IMAGE_REPO_NAME:$IMAGE_TAG

Dockerfile（在 (root directory name)）


FROM golang:1.12-alpine AS build
#Install git
RUN apk add --no-cache git
#Get the hello world package from a GitHub repository
RUN go get github.com/golang/example/hello
WORKDIR /go/src/github.com/golang/example/hello
# Build the project and send the output to /bin/HelloWorld 
RUN go build -o /bin/HelloWorld

FROM golang:1.12-alpine
#Copy the build's output binary from the previous build container
COPY --from=build /bin/HelloWorld /bin/HelloWorld
ENTRYPOINT ["/bin/HelloWorld"]

注意

CodeBuild 会覆盖自定义 Docker 映像的 ENTRYPOINT。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

自定义映像示例中的 Docker

使示例适应 Docker Hub