Allgemeines

F: Was ist Amazon Elastic Container Registry? (ECR)
Amazon Elastic Container Registry (ECR) ist ein vollständig verwaltetes Container-Registry, das es Entwicklern leicht macht, Container-Images und -Artefakte gemeinsam zu nutzen und einzusetzen. Amazon ECR ist in Amazon Elastic Container Service (ECS)Amazon Elastic Kubernetes Service (EKS) und AWS Lambda integriert, was Ihren Workflow von der Entwicklung bis zur Produktion vereinfacht. Amazon ECR macht den Einsatz eigener Container Repositorys und Bedenken zur Skalierung der zugrundeliegenden Infrastruktur überflüssig. Mit Amazon ECR können Sie Ihre Abbilder in einer hochverfügbaren und skalierbaren Architektur hosten und damit zuverlässig Container für Ihre Anwendungen bereitstellen. Die Integration in AWS Identity and Access Management (IAM) ermöglicht die Kontrolle auf Ressourcenebene von jedem Repository, sodass Sie Images innerhalb Ihres Unternehmens oder mit jedem auf der Welt gemeinsam nutzen können.
 
F: Warum sollte ich Amazon ECR verwenden?
Mit Amazon ECR muss die für Ihre Container Registry benötigte Infrastruktur nicht selbst betrieben und skaliert werden. Amazon ECR verwendet Amazon S3 zur Speicherung. So sind Ihre Container-Abbilder hoch verfügbar und verlässlich zugreifbar. Sie können die neuen Container für Ihre Anwendung somit zuverlässig bereitstellen. Amazon ECR überträgt Ihre Container-Abbilder über HTTPS und verschlüsselt Ihre gespeicherten Abbilder automatisch. Sie können Richtlinien für die Zugriffsverwaltung auf jedes Repository konfigurieren und den Zugriff auf IAM-Nutzer und -Rollen sowie andere AWS-Konten beschränken. Amazon ECR ist mit Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda und der Docker CLI kompatibel, wodurch Ihre Entwicklungs- und Produktionsarbeitsabläufe vereinfacht werden können. Sie können Ihre Container-Images mit der Docker CLI von Ihrem Entwicklungsgerät einfach an Amazon ECR übermitteln und die Amazon Container-Orchestratoren oder die Datenverarbeitung können diese für die Produktionsbereitstellung direkt weiterleiten.
 
F: Wie sieht das Preisangebot für Amazon ECR aus?
Mit Amazon ECR müssen Sie keine Vorauszahlungen leisten oder sonstige Verbindlichkeiten eingehen. Sie zahlen nur für die Datenmenge, die Sie in Ihren öffentlichen oder privaten Repositorys speichern, sowie für die ins Internet übertragenen Daten. Weitere Informationen finden Sie auf der Seite mit der Preisübersicht.
 
F: Ist Amazon ECR ein globaler Dienst?
Amazon ECR ist ein regionaler Dienst und so konzipiert, dass Sie bei der Art der Bereitstellung flexibel sind. Sie können Abbilder in derselben Region bereitstellen oder abrufen, in der Ihre Docker-Cluster ausgeführt werden. So erhalten Sie die beste Leistung. Sie haben außerdem von überall dort Zugriff auf Amazon ECR, wo Docker ausgeführt wird, beispielsweise auf Desktop-Computern oder in lokalen Umgebungen. Wenn Sie Abbilder zwischen Regionen oder aus dem Internet abrufen, entstehen zusätzliche Kosten für die Latenz und die Datenübertragung.
 
F: Kann Amazon ECR öffentliche Container-Images hosten?
Ja. Amazon ECR verfügt über ein hochverfügbares Container-Registry und eine Website, die es Ihnen leicht macht, öffentliche Container-Software freizugeben oder nach ihr zu suchen. Jeder mit oder ohne AWS-Konto kann die öffentliche Galerie von ECR nutzen, um nach häufig verwendeten Container-Images wie Betriebssystemen, von AWS veröffentlichten Images und Dateien wie Helm-Diagrammen für Kubernetes zu suchen und herunterzuladen.
 
F: Was ist der Unterschied zwischen den öffentlichen und privaten Amazon ECR-Repositorys?
Ein privates Repository bietet keine Funktionen zur Inhaltssuche und erfordert eine Amazon IAM-basierte Authentifizierung mit AWS-Konto-Anmeldedaten, bevor Images abgerufen werden können. Ein öffentliches Repository verfügt über beschreibende Inhalte und ermöglicht es jedem, von überall her Bilder abzurufen, ohne ein AWS-Konto zu benötigen oder IAM-Zugangsdaten zu verwenden. Images aus dem öffentlichen Repository sind auch in der öffentlichen Galerie von ECR verfügbar.

F: Welche Compliance-Möglichkeiten habe ich mit Amazon ECR?
Sie können AWS CloudTrail auf Amazon ECR verwenden und einen Verlauf aller API-Aktionen abrufen, etwa wer ein Abbild bereitgestellt hat oder wann Tags zwischen Abbildern verschoben wurden. Administratoren können außerdem sehen, welche Abbilder von welchen EC2-Instances abgerufen wurden.

Verwendung von Amazon ECR

F: Was sind die ersten Schritte mit Amazon ECR?
Der beste Weg, um mit Amazon ECR zu beginnen, ist die Verwendung der Docker CLI zum Drücken und Ziehen und Ihres ersten Bildes. Auf unserer Seite Erste Schritte erhalten Sie weitere Informationen.

F: Kann ich auf Amazon ECR in einer VPC zugreifen?
Ja. Sie können AWS PrivateLink-Endpunkte so einrichten, dass Ihre Instances Bilder aus Ihren privaten Repositorys ziehen können, ohne das öffentliche Internet zu durchqueren.

F: Wie verwalte ich meine Repositorys und Abbilder am besten?
Amazon ECR bietet eine Befehlszeilenoberflächen und APIs, um Repositorys zu erstellen, überwachen und zu löschen sowie Berechtigungen für Repositorys festzulegen. Sie können dieselben Aktionen über die Amazon ECR Management-Konsole ausführen. Darauf haben Sie im Abschnitt „Repositorys“ in der Amazon ECR-Konsole Zugriff. Amazon ECR ist auch mit Docker CLI kompatibel. So können Sie Abbilder auf Ihrem Entwicklungscomputer bereitstellen, abrufen und taggen.

F: Wie gebe ich ein Image mittels ECR öffentlich frei?
Sie veröffentlichen ein Image in der öffentlichen Galerie von ECR, indem Sie sich bei Ihrem AWS-Konto anmelden und Daten auf ein von Ihnen erstelltes öffentliches Repository übertragen. Ihnen wird pro Konto ein eindeutiger Alias für die Verwendung in Bild-URLs zugewiesen, der alle öffentlichen Images identifiziert, die Sie veröffentlichen.
 
F: Kann ich einen benutzerdefinierten Alias für meine öffentlichen Images verwenden?
Ja. Sie können einen benutzerdefinierten Aliasnamen wie den Namen Ihres Unternehmens oder Ihres Projekts anfordern, es sei denn, es handelt sich um einen reservierten Aliasnamen. Namen, die AWS-Services identifizieren, sind reserviert. Namen, die AWS Marketplace-Verkäufer identifizieren, sind möglicherweise ebenfalls reserviert. Wir werden Ihren Antrag auf einen benutzerdefinierten Alias innerhalb weniger Tage prüfen und genehmigen, es sei denn, Ihr Antrag verstößt gegen die AWS-Richtlinie zur akzeptablen Nutzung oder andere AWS-Richtlinien.
 
F: Wie ziehe ich ein öffentliches Image aus ECR?
Sie ziehen mit dem bekannten 'docker pull'-Befehl mit der URL des Images. Sie können einfach nach dieser URL suchen, indem Sie Images unter Verwendung eines Veröffentlicher-Alias, eines Image-Namens oder einer Image-Beschreibung in der öffentlichen ECR-Galerie finden. Image-URLs haben das Format public.ecr.aws/<alias>/<image>:<tag>, zum Beispiel public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5
 
F: Repliziert Amazon ECR-Images zwischen Regionen?
Ja. Mit Amazon ECR erhalten Sie Flexibilität beim Speicherort und der Art der Bereitstellung Ihrer Images. Sie können Bereitstellungs-Pipelines erstellen, die Images erstellen, und diese in eine Region an Amazon ECR pushen, und Amazon ECR kann sie automatisch in andere Regionen und Konten replizieren, um sie in Cluster mit mehreren Regionen zu verteilen.

F: Kann ich Amazon ECR in lokalen Umgebungen und vor Ort verwenden?
Ja. Sie haben außerdem von überall dort Zugriff auf Amazon ECR, wo Docker ausgeführt wird, beispielsweise auf Desktop-Computern oder in lokalen Umgebungen.

F: Stellt die öffentliche Amazon ECR-Galerie Images zur Verfügung, die von AWS veröffentlicht wurden?
Ja. Services wie Amazon Elastic Kubernetes Service (EKS), Amazon Sagemaker und AWS Lambda veröffentlichen ihre offiziellen Container-Images und -Artefakte zur öffentlichen Nutzung in Amazon ECR.  

F: Funktioniert Amazon ECR mit Amazon ECS?
Ja. Amazon ECR ist mit Amazon ECS kombiniert, um Ihnen das einfache Speichern, Ausführen und Verwalten von Container-Abbilder für Anwendungen zu ermöglichen, die in Amazon ECS ausgeführt werden. Sie müssen lediglich in Ihrer Aufgabendefinition das Amazon ECR Repository festlegen und Amazon ECS holt sich die entsprechenden Images für Ihre Anwendungen.

F: Funktioniert Amazon ECR mit AWS Elastic Beanstalk?
Ja. AWS Elastic Beanstalk unterstützt Amazon ECR für Docker-Umgebungen mit einem oder mehreren Containern. So können Sie auf Amazon ECR gespeicherte Container-Abbilder einfach auf AWS Elastic Beanstalk bereitstellen. Sie müssen lediglich das Amazon ECR-Repository in Ihrer Dockerrun.aws.json-Konfiguration angeben und die AmazonEC2ContainerRegistryReadOnly-Richtlinien an Ihre Container-Instance-Rolle anfügen.

F: Welche Version von Docker Engine unterstützt Amazon ECR?
Amazon ECR unterstützt derzeit Docker Engine 1.7.0 und höher.

F: Welche Version der Docker Registry API unterstützt Amazon ECR?
Amazon ECR unterstützt die Docker Registry V2 API-Spezifizierung.

F: Erstellt Amazon ECR Abbilder automatisch aus einer Docker-Datei?
Amazon ECR lässt sich jedoch mit vielen gängigen CI-/CD-Lösungen integrieren und bietet so diese Option. Weitere Informationen finden Sie auf der Seite der Amazon ECR-Partner.

F: Unterstützt Amazon ECR den Verbundzugriff?
Ja. Amazon ECR ist mit AWS Identity and Access Management integriert. Dieser Dienst unterstützt den Identitätsverbund für den delegierten Zugriff auf die AWS Management-Konsole oder die AWS APIs.

F: Welche Version der Docker Image Manifest-Spezifikation unterstützt Amazon ECR?
Amazon ECR unterstützt Docker Image Manifest V2 im Format von Schema 2. Aus Gründen der Rückwärtskompatibilität mit Abbildern des Schemas 1 akzeptiert Amazon ECR weiterhin Abbilder, die im Format von Schema 1 hochgeladen werden. Darüber hinaus kann Amazon ECR ein Abbild des Schemas 2 in ein Schema 1-Abbild konvertieren, wenn dieses mit einer älteren Version von Docker Engine (1.9 oder früher) heruntergeladen wird.

F: Unterstützt Amazon ECR das Format der Open Container Initiative (OCI)?
Ja. Amazon ECR ist kompatibel mit der Bildspezifikation der Open Container Initiative (OCI), so dass Sie OCI-Images und -Artefakte in beide Richtungen übertragen können. Beim Herunterladen kann Amazon ECR auch zwischen Schema 2-Images von Docker Image Manifest V2 und OCI-Images konvertieren.

Sicherheit

F: Wie trägt Amazon ECR zur Sicherheit der Container-Images bei?
Amazon ECR verschlüsselt gespeicherte Images automatisch. Dazu wird die serverseitige S3-Verschlüsselung oder die AWS KMS-Verschlüsselung verwendet. Ihre Container-Images werden außerdem über HTTPS übertragen. Sie können Richtlinien zur Verwaltung von Genehmigungen und zur Überprüfung von Zugriffen auf Ihre Images mithilfe der Benutzer und Rollen des AWS Identity and Access Management (IAM) konfigurieren, ohne die Anmeldeinformationen direkt auf Ihren EC2-Instances verwalten zu müssen.

F: Wie verwende ich AWS Identity and Access Management für Berechtigungen?
Sie können auf IAM-Ressourcen basierte Richtlinien verwenden, um zu steuern und nachzuverfolgen, wer und was (z. B. EC2-Instances) auf Ihre Container-Abbilder zugreifen kann und wie, wann und wo der Zugriff erfolgt ist. Erstellen Sie zunächst in der Management-Konsole auf Ressourcen basierte Richtlinien für Ihre Repositorys. Sie können auch Beispielrichtlinien verwenden und Sie über Amazon ECR CLI Ihren Repositorys hinzufügen.

F: Kann ich meine Abbilder für alle AWS-Konten freigeben?
Ja. Hier sehen Sie ein Beispiel dazu, wie Sie Richtlinien für die kontoübergreifende Freigabe von Images erstellen und einrichten.

F: Scannt Amazon ECR Container-Images auf Schwachstellen?
Ja. Amazon ECR kann Ihre Container-Images automatisch auf eine breite Palette von Schwachstellen des Betriebssystems scannen, wenn Sie das Scannen auf Knopfdruck für private Repositorys aktivieren. Sie können Images auch mit einem API-Befehl scannen. ECR benachrichtigt Sie, wenn ein Scan abgeschlossen ist, und die Ergebnisse sind in der Konsole und über die API verfügbar.

Weitere Informationen zu Amazon ECR-Preisen

Zur Seite mit den Preisen
Bereit zum Entwickeln?
Erste Schritte mit Amazon ECR
Haben Sie noch Fragen?
Kontakt