Общие вопросы

Вопрос. Что такое Amazon Elastic Container Registry (ECR)?
Amazon Elastic Container Registry (ECR) – это полностью автоматизированный реестр контейнеров, который упрощает для разработчиков совместное использование и развертывание образов контейнеров и артефактов. Amazon ECR интегрируется с сервисами Amazon Elastic Container Service (ECS)Amazon Elastic Kubernetes Service (EKS) и AWS Lambda, что упрощает процесс разработки и выпуска рабочих версий. При работе с сервисом Amazon ECR вам не придется самостоятельно управлять своими репозиториями контейнеров или заботиться о масштабировании базовой инфраструктуры. Amazon ECR размещает ваши образы в высокодоступной и масштабируемой архитектуре, обеспечивая надежное развертывание контейнеров для приложений. Интеграция с сервисом AWS Identity and Access Management (IAM) обеспечивает контроль каждого репозитория на уровне доступа к ресурсам, что позволяет делиться образами с коллегами и другими пользователями.
 
Вопрос. Какие задачи позволяет решить Amazon ECR?
При работе с сервисом Amazon ECR вам не придется самостоятельно управлять инфраструктурой, в которой работает ваш реестр контейнеров, или заботиться о ее масштабировании. Amazon ECR использует для образов контейнеров хранилище Amazon S3 с быстрым и стабильным доступом, что позволяет обеспечить надежное развертывание новых контейнеров для приложений. Сервис Amazon ECR передает образы контейнеров по протоколу HTTPS и обеспечивает их автоматическое шифрование при хранении. У пользователя есть возможность настроить политики управления разрешениями отдельно для каждого репозитория и предоставить ограниченный доступ для определенных пользователей или ролей IAM, а также других аккаунтов AWS. Amazon ECR интегрируется с сервисами Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda и интерфейсом командной строки Docker, что упрощает процессы разработки и выпуска рабочих версий. Вы можете легко отправить образы контейнеров с машины, на которой выполняли разработку, в Amazon ECR, используя интерфейс командной строки Docker, а оркестраторы или вычислительные среды Amazon извлекут их непосредственно для рабочего развертывания.
 
Вопрос. Какие цены установлены на Amazon ECR?
Работу с сервисом Amazon ECR можно начать без авансовых платежей или каких-либо обязательств. Вы платите только за объем данных, хранимых в публичных или частных репозиториях и передаваемых в Интернет. Дополнительную информацию см. на странице Цены.
 
Вопрос: Сервис Amazon ECR предоставляется по всему миру?
Amazon ECR – это региональный сервис, предназначенный для обеспечения гибкого развертывания образов. Для обеспечения наилучшей производительности вам предоставляется возможность отправлять образы в тот же регион, в котором работает ваш кластер Docker, и извлекать их в пределах региона. Вы также можете получить доступ к Amazon ECR из любого места, где работает Docker, например с настольных компьютеров или из локальных сред. Обмен образами между регионами или в Интернете приведет к дополнительным задержкам и расходам на передачу данных.
 
Вопрос. Можно ли использовать Amazon ECR для размещения публичных образов контейнеров?
Да. Amazon ECR имеет высокодоступный реестр контейнеров и веб-сайт, который упрощает публикацию контейнерного ПО и его поиск. Каждый желающий с аккаунтом AWS или без него, может использовать общедоступную галерею ECR для поиска и загрузки часто используемых образов контейнеров, например операционных систем, публикуемых AWS образов и файлов, таких как диаграммы Helm для Kubernetes.
 
Вопрос. В чем разница между общедоступными и частными репозиториями Amazon ECR?
Частный репозиторий не предлагает возможности поиска контента и, прежде чем разрешить извлечение образов, требует аутентификации на основе Amazon IAM с использованием аккаунта AWS. Общедоступный репозиторий имеет описательный контент и позволяет кому угодно извлекать образы без необходимости иметь аккаунт AWS или учетные данные IAM. Образы общедоступного репозитория также доступны в общедоступной галерее ECR.

Вопрос. Какие возможности обеспечения соответствия требованиям доступны в Amazon ECR?
В Amazon ECR можно использовать AWS CloudTrail для получения истории всех действий API, например информации о том, кто отправил образ, или когда были перемещены теги между образами. Администраторы также могут выяснить, какие образы были извлечены определенными инстансами EC2.

Использование Amazon ECR

Вопрос: Как начать работу с Amazon ECR?
Для скорейшего начала работы с сервисом Amazon ECR воспользуйтесь интерфейсом командной строки Docker, чтобы отправить или извлечь свой первый образ. Дополнительные сведения см. на странице Начало работы.

Вопрос: Можно ли получить доступ к Amazon ECR в облаке VPC?
Да. Теперь есть возможность настроить адреса AWS PrivateLink, чтобы инстансы могли извлекать образы из частных репозиториев, не передавая их через публичный Интернет.

Вопрос. Как лучше всего управлять репозиториями и образами?
Сервис Amazon ECR предоставляет интерфейс командной строки и API для создания, мониторинга и удаления репозиториев, а также настройки разрешений на доступ к ним. Эти же действия можно выполнять в консоли управления Amazon ECR, доступ к которой можно получить в разделе «Repositories» консоли Amazon ECR. Кроме того, Amazon ECR интегрирован с интерфейсом командной строки Docker, что позволяет отправлять и извлекать образы, а также назначать им теги с машины, используемой для разработки.

Вопрос. Как предоставить общий доступ к образу, используя ECR?
Войдя в свой аккаунт AWS, вы можете опубликовать образ в общедоступной галерее ECR, отправив его в созданный вами общедоступный репозиторий. Каждому аккаунту присваивается уникальный псевдоним для использования в URL-адресах образов, чтобы идентифицировать все публикуемые вами общедоступные образы.
 
Вопрос. Можно ли использовать собственный псевдоним для общедоступных образов?
Да. Вы можете присвоить собственный псевдоним, например название организации или проекта, если только этот псевдоним не зарезервирован. Имена, которые идентифицируют сервисы AWS, зарезервированы. Имена, идентифицирующие продавцов AWS Marketplace, также могут быть зарезервированы. Если ваш псевдоним не нарушает Политику приемлемого использования AWS или другие политики AWS, мы рассмотрим и утвердим ваш запрос в течение нескольких дней.
 
Вопрос. Как извлечь общедоступный образ из ECR?
Образ можно извлечь, используя знакомую команду «docker pull» с URL-адресом образа. URL-адрес легко найти, выполнив поиск по псевдониму издателя, имени образа или его описанию в общедоступной галерее ECR. URL-адреса образов имеют такой формат: public.ecr.aws/<alias>/<image>:<tag> (например, public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5.).
 
Вопрос. Обеспечивает ли сервис Amazon ECR репликацию образов в разных регионах?
Да. Сервис Amazon ECR обеспечивает гибкость при выборе места хранения и способа развертывания образов. Вы можете создать конвейеры развертывания, которые будут создавать образы и отправлять их в сервис Amazon ECR в одном регионе, а сервис Amazon ECR будет автоматически реплицировать их в другие регионы и отвечать за развертывание в других кластерах.

Вопрос. Можно ли использовать Amazon ECR в локальной среде?
Да. Вы можете получить доступ к Amazon ECR из любого места, где работает Docker, в том числе с настольных компьютеров или из локальных сред.

Вопрос. Есть ли в общедоступной галерее Amazon ECR образы, публикуемые AWS?
Да. Такие сервисы, как Amazon Elastic Kubernetes Service (EKS), Amazon Sagemaker и AWS Lambda, публикуют свои официальные образы контейнеров и артефакты для открытого пользования в Amazon ECR.  

Вопрос. Работает ли Amazon ECR с Amazon ECS?
Да. Amazon ECR интегрирован с Amazon ECS, что позволяет легко хранить и запускать образы контейнеров для работающих в Amazon ECS приложений, а также управлять ими. Вам необходимо лишь указать репозиторий Amazon ECR в определении задания, а Amazon ECS будет извлекать подходящие образы для ваших приложений.

Вопрос: Работает ли Amazon ECR с AWS Elastic Beanstalk?
Да. В настоящее время AWS Elastic Beanstalk поддерживает Amazon ECR как в одноконтейнерных, так и во многоконтейнерных средах Docker, позволяя легко развертывать в AWS Elastic Beanstalk образы контейнеров, хранящиеся в Amazon ECR. Вам нужно только указать репозиторий Amazon ECR в конфигурации Dockerrun.aws.json и прикрепить политику AmazonEC2ContainerRegistryReadOnly к роли инстанса контейнера.

Вопрос: Какую версию движка Docker поддерживает Amazon ECR?
Amazon ECR в настоящее время поддерживает Docker версии 1.7.0 и выше.

Вопрос: Какую версию API Docker Registry поддерживает Amazon ECR?
Amazon ECR поддерживает спецификацию API Docker Registry V2.

Вопрос: Будет ли Amazon ECR автоматически создавать образы из Dockerfile?
Нет. Однако Amazon ECR интегрируется с рядом популярных решений интеграции и непрерывной доставки контента для обеспечения этой возможности. Дополнительную информацию см. на странице партнеров по Amazon ECR.

Вопрос: Поддерживает ли Amazon ECR федеративный доступ?
Да. Amazon ECR интегрирован с AWS Identity and Access Management, который поддерживает федерацию удостоверений для делегированного доступа к Консоли управления AWS или API AWS.

Вопрос: Какую версию спецификации манифеста образов Docker поддерживает Amazon ECR?
Amazon ECR поддерживает формат Docker Image Manifest V2 Schema 2. В целях обеспечения обратной совместимости с образами Schema 1 Amazon ECR продолжает принимать образы, загруженные в формате Schema 1. Кроме того, Amazon ECR может преобразовывать образы из формата Schema 2 в Schema 1 при извлечении образов с помощью более старой версии Docker Engine (1.9 и ниже).

Вопрос: Поддерживает ли Amazon ECR формат Open Container Initiative (OCI)?
Да. Amazon ECR совместим со спецификацией образов Open Container Initiative (OCI), что позволяет отправлять и извлекать образы OCI и артефакты. Amazon ECR также может при отправке преобразовывать образы между форматами Docker Image Manifest V2, Schema 2 и OCI.

Безопасность

Вопрос. Как Amazon ECR помогает обеспечить безопасность образов контейнеров?
Amazon ECR автоматически шифрует образы при хранении, используя шифрование на стороне сервера S3 или шифрование AWS KMS, а также передает образы контейнеров по HTTPS. Вместо того чтобы управлять данными доступа непосредственно на своих инстансах EC2, можно настроить политики для управления разрешениями и контроля доступа к вашим образам, используя пользователей и роли AWS Identity and Access Management (IAM).

Вопрос: Как использовать AWS Identity and Access Management для настройки разрешений?
Политики IAM на основе ресурсов можно использовать для управления разрешениями и мониторинга того, кто и что (например, инстансы EC2) может получать доступ к вашим образам контейнеров, а также как, когда и где они могут получать к ним доступ. Чтобы начать работу, воспользуйтесь Консолью управления для создания политик на уровне ресурсов для своих репозиториев. Кроме того, вы можете использовать образцы политик и прикрепить их к своим репозиториям с помощью интерфейса командной строки Amazon ECR.

Вопрос: Можно ли предоставить общий доступ к образам для других аккаунтов AWS?
Да. По ссылке приведен пример создания и настройки политики для обеспечения доступа к образу из разных аккаунтов.

Вопрос. Сканирует ли Amazon ECR образы контейнеров на наличие уязвимостей?
Да. Если включить сканирование при отправке для частных репозиториев, Amazon ECR может автоматически сканировать образы контейнеров на наличие разнообразных уязвимостей операционной системы. Кроме того, можно сканировать изображения с помощью команды API. Вы получите уведомление от ECR, когда сканирование будет завершено, а результаты будут доступны в консоли и через API.

Подробнее о ценах на Amazon ECR

Перейти на страницу цен
Готовы приступить к разработке?
Начать работу с Amazon ECR
Есть вопросы?
Свяжитесь с нами