Câu hỏi thường gặp về Amazon Elastic Container Registry

Thông tin chung

Amazon ECR là dịch vụ cơ sở đăng ký bộ chứa được quản lý đầy đủ giúp các nhà phát triển dễ dàng chia sẻ cũng như triển khai hình ảnh bộ chứa và thành phần lạ. Amazon ECR được tích hợp với Amazon Elastic Container Service (Amazon ECS)Dịch vụ Kubernetes linh hoạt Amazon (Amazon EKS) và AWS Lambda, giúp đơn giản hóa quy trình làm việc từ khâu phát triển đến sản xuất. Amazon ECR giúp bạn không phải vận hành các kho bộ chứa riêng hay thay đổi quy mô cơ sở hạ tầng cơ sở. Amazon ECR lưu trữ hình ảnh của bạn trong kiến trúc có độ sẵn sàng cao và quy mô linh hoạt, cho phép bạn triển khai các bộ chứa cho ứng dụng của mình một cách ổn định. Việc tích hợp với AWS Identity and Access Management (IAM) cung cấp quyền kiểm soát từng kho ở cấp tài nguyên, cho phép bạn chia sẻ hình ảnh trong tổ chức của bạn hoặc với bất cứ ai trên thế giới.

Amazon ECR giúp bạn không phải vận hành và thay đổi quy mô cơ sở hạ tầng để làm nền tảng hoạt động cho cơ sở đăng ký bộ chứa của mình. Amazon ECR sử dụng Amazon Simple Storage Service (S3) để lưu trữ giúp các hình ảnh trong bộ chứa của bạn rất dễ sử dụng và truy cập, nên bạn có thể triển khai các bộ chứa mới cho ứng dụng của mình một cách ổn định. Amazon ECR truyền hình ảnh trong bộ chứa của bạn qua kết nối HTTPS và tự động mã hóa hình ảnh được lưu trữ của bạn. Bạn có thể đặt cấu hình chính sách để quản lý các quyền cho từng kho và hạn chế quyền truy cập đối với người dùng IAM, vai trò hoặc các tài khoản AWS khác. Amazon ECR tích hợp với Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda và CLI Docker, đem đến cho bạn khả năng đơn giản hóa quy trình công việc phát triển và sản xuất. Bạn có thể dễ dàng đẩy hình ảnh trong bộ chứa của bạn lên Amazon ECR bằng cách sử dụng CLI Docker từ bộ máy phát triển của bạn rồi trình điều phối bộ chứa của Amazon hoặc dịch vụ điện toán có thể lấy trực tiếp từ đó để phục vụ quá trình triển khai sản xuất.

Với Amazon ECR, bạn sẽ không phải trả tiền trước hay có cam kết gì. Bạn chỉ phải thanh toán cho lượng dữ liệu bạn lưu trong các kho công khai hoặc riêng tư cũng như dữ liệu được truyền lên Internet. Vui lòng xem trang Định giá của chúng tôi để biết thêm chi tiết.

Amazon ECR là một dịch vụ Khu vực và được thiết kế để mang lại cho bạn sự linh hoạt trong cách triển khai hình ảnh. Bạn có thể đẩy/kéo hình ảnh vào cùng một khu vực AWS có cụm Docker chạy để có hiệu suất tốt nhất. Bạn cũng có thể truy cập Amazon ECR ở mọi nơi mà Docker chạy, chẳng hạn như máy tính để bàn và môi trường tại chỗ. Việc kéo hình ảnh giữa các Khu vực hoặc lên Internet sẽ có độ trễ bổ sung và mất chi phí truyền dữ liệu.

Có. Amazon ECR có một trang web và cơ sở đăng ký bộ chứa có độ sẵn sàng cao, giúp bạn dễ dàng chia sẻ hoặc tìm kiếm phần mềm bộ chứa công khai. Bất cứ ai có hoặc không có tài khoản AWS có thể sử dụng thư viện công cộng của Amazon ECR để tìm kiếm và tải xuống hình ảnh trong bộ chứa thường được sử dụng, chẳng hạn như hệ điều hành, hình ảnh do AWS xuất bản và các tệp như biểu đồ Helm cho Kubernetes.

Kho riêng tư không cung cấp khả năng tìm kiếm nội dung và yêu cầu xác thực dựa trên Amazon IAM bằng thông tin xác thực tài khoản AWS trước khi cho phép kéo hình ảnh. Kho công khai có nội dung mô tả và cho phép bất cứ ai ở khắp mọi nơi kéo hình ảnh mà không cần có tài khoản AWS hoặc sử dụng thông tin xác thực IAM. Hình ảnh trong kho công khai cũng có trong thư viện công khai của Amazon ECR.
 

Bạn có thể sử dụng AWS CloudTrail trên Amazon ECR để cung cấp lịch sử của tất cả hành động API, chẳng hạn như người đã kéo hình ảnh và thời gian thẻ được di chuyển giữa các hình ảnh. Quản trị viên cũng có thể tìm phiên bản EC2 nào đã kéo hình ảnh nào.

Sử dụng Amazon ECR

Cách tốt nhất để bắt đầu với Amazon ECR là sử dụng CLI Docker để đẩy và kéo hình ảnh đầu tiên của bạn. Truy cập vào trang Bắt đầu của chúng tôi để biết thêm thông tin.

Có. Bạn có thể thiết lập các điểm cuối AWS PrivateLink để cho phép các phiên bản của bạn kéo hình ảnh từ kho riêng của bạn mà không cần phải đi qua Internet công cộng.

Amazon ECR cung cấp giao diện dòng lệnh và các API để tạo, giám sát và xóa kho, đồng thời đặt quyền đối với kho. Bạn có thể thực hiện các hành động tương tự trong bảng điều khiển Amazon ECR, truy cập được qua phần “Kho” của bảng điều khiển Amazon ECR. Amazon ECR cũng tích hợp với CLI Docker cho phép bạn đẩy, kéo và gắn thẻ hình ảnh trên bộ máy phát triển.

Bạn xuất bản một hình ảnh lên thư viện công khai của Amazon ECR bằng cách đăng nhập vào tài khoản AWS của mình rồi đẩy lên kho công khai mà bạn tạo. Bạn được gán một bí danh duy nhất cho mỗi tài khoản để dùng trong URL hình ảnh giúp xác định tất cả hình ảnh công khai mà bạn xuất bản.

Có. Bạn có thể yêu cầu bí danh tùy chỉnh như tên dự án hoặc tổ chức của bạn, trừ khi đó là bí danh dành riêng. Các tên xác định dịch vụ AWS là dành riêng. Các tên xác định người bán trên AWS Marketplace cũng có thể được dành riêng. Chúng tôi sẽ đánh giá và phê duyệt yêu cầu bí danh tùy chỉnh của bạn trong vài ngày, trừ khi yêu cầu bí danh của bạn vi phạm Chính sách sử dụng chấp nhận được của AWS hoặc các chính sách khác của AWS.

Bạn kéo bằng lệnh ‘kéo docker’ quen thuộc cùng URL của hình ảnh. Bạn có thể dễ dàng tìm kiếm URL này bằng cách tìm hình ảnh sử dụng bí danh của nhà xuất bản, tên hình ảnh hoặc mô tả hình ảnh bằng thư viện công khai của Amazon ECR. URL hình ảnh ở định dạng public.ecr.aws/<alias>/<image>:<tag>, ví dụ: public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5

Có. Amazon ECR được thiết kế để mang lại cho bạn sự linh hoạt ở nơi bạn lưu trữ và cách bạn triển khai hình ảnh của mình. Bạn có thể tạo quy trình triển khai giúp xây dựng hình ảnh, đẩy hình ảnh đó vào Amazon ECR trong một Khu vực và Amazon ECR có thể tự động sao chép chúng vào những Khu vực và tài khoản khác để triển khai cho các cụm ở nhiều khu vực.

Có. Bạn có thể truy cập Amazon ECR ở mọi nơi mà Docker chạy, chẳng hạn như máy tính để bàn và môi trường tại chỗ.

Có. Các dịch vụ như Amazon EKS, Amazon SageMaker và AWS Lambda xuất bản các thành phần lạ và hình ảnh trong bộ chứa được sử dụng công khai lên Amazon ECR.  

Có. Amazon ECR được tích hợp với Amazon ECS cho phép bạn dễ dàng lưu trữ, chạy và quản lý hình ảnh trong bộ chứa cho các ứng dụng chạy trên Amazon ECS. Bạn chỉ cần chỉ định kho Amazon ECR trong định nghĩa tác vụ và Amazon ECS sẽ truy xuất hình ảnh thích hợp cho ứng dụng của bạn.

Có. AWS Elastic Beanstalk hỗ trợ Amazon ECR trong cả môi trường Docker có một và nhiều bộ chứa. Nhờ vậy, bạn có thể dễ dàng triển khai hình ảnh trong bộ chứa được lưu trữ trong Amazon ECR với AWS Elastic Beanstalk. Bạn chỉ cần chỉ định kho Amazon ECR trong cấu hình Dockerrun.aws.json và đính kèm chính sách AmazonEC2ContainerRegistryReadOnly vào vai trò phiên bản bộ chứa của bạn.

Amazon ECR hiện hỗ trợ Docker Engine 1.7.0 trở lên.

Amazon ECR hỗ trợ thông số kỹ thuật của Docker Registry V2 API.

Không. Tuy nhiên, Amazon ECR tích hợp với một số giải pháp CI/CD phổ biến để cung cấp khả năng này. Xem Trang Đối tác Amazon ECR để biết thêm thông tin.

Có. Amazon ECR được tích hợp với Quản lý danh tính và truy cập (IAM) trong AWS, hỗ trợ liên kết danh tính cho truy cập được ủy thác tới Bảng điều khiển quản lý AWS hoặc các API AWS.

Amazon ECR hỗ trợ Tệp kê khai hình ảnh Docker phiên bản 2, định dạng Schema 2. Để duy trì khả năng tương thích ngược với các hình ảnh Schema 1, Amazon ECR sẽ tiếp tục chấp nhận các hình ảnh đã tải lên ở định dạng Schema 1. Ngoài ra, Amazon ECR có thể dịch xuôi từ một hình ảnh ở Schema 2 xuống Schema 1 khi kéo bằng phiên bản cũ của Docker Engine (1.9 trở xuống).

Có. Amazon ECR tương thích với thông số kỹ thuật hình ảnh Sáng kiến bộ chứa mở (OCI) cho phép bạn đẩy và kéo các thành phần lạ và hình ảnh trong OCI. Amazon ECR cũng có thể dịch giữa các hình ảnh Docker Image Manifest V2, Schema 2 và các hình ảnh trong OCI khi kéo.

Bảo mật

Amazon ECR tự động mã hóa các hình ảnh được lưu trữ bằng mã hóa phía máy chủ Amazon S3 hoặc mã hóa AWS KMS, đồng thời truyền các hình ảnh trong bộ chứa của bạn qua HTTPS. Bạn có thể cấu hình các chính sách để quản lý quyền và kiểm soát truy cập vào hình ảnh của bạn bằng cách sử dụng người dùng và vai trò của AWS Identity and Access Management (IAM) mà không phải trực tiếp quản lý thông tin xác thực trên phiên bản EC2.

Bạn có thể sử dụng các chính sách dựa trên tài nguyên IAM để kiểm soát, giám sát người và sự việc (ví dụ: các phiên bản EC2) có thể truy cập những hình ảnh trong bộ chứa cũng như cách thức, thời gian và vị trí người/sự việc đó có thể truy cập chúng. Để bắt đầu, hãy sử dụng Bảng điều khiển quản lý AWS để tạo các chính sách dựa trên tài nguyên cho kho của bạn. Hoặc, bạn có thể sử dụng các chính sách mẫu và đính kèm chúng vào kho của bạn qua Amazon ECR CLI.

Bạn có thể bật Amazon ECR để tự động quét hình ảnh trong bộ chứa của mình nhằm tìm một loạt lỗ hổng bảo mật của hệ điều hành. Bạn cũng có thể quét hình ảnh bằng lệnh API. Amazon ECR sẽ thông báo cho bạn qua API và trong bảng điều khiển khi quá trình quét hoàn tất. Để quét hình ảnh nâng cao, bạn có thể bật Amazon Inspector.