Thông tin chung
Kho riêng tư không cung cấp khả năng tìm kiếm nội dung và yêu cầu xác thực dựa trên Amazon IAM bằng thông tin xác thực tài khoản AWS trước khi cho phép kéo hình ảnh. Kho công khai có nội dung mô tả và cho phép bất cứ ai ở khắp mọi nơi kéo hình ảnh mà không cần có tài khoản AWS hoặc sử dụng thông tin xác thực IAM. Hình ảnh trong kho công khai cũng có trong thư viện công khai của Amazon ECR.
Sử dụng Amazon ECR
Câu hỏi: Tôi có thể bắt đầu sử dụng Amazon ECR như thế nào?
Cách tốt nhất để bắt đầu với Amazon ECR là sử dụng CLI Docker để đẩy và kéo hình ảnh đầu tiên của bạn. Truy cập vào trang Bắt đầu của chúng tôi để biết thêm thông tin.
Câu hỏi: Tôi có thể truy cập Amazon ECR bên trong VPC không?
Có. Bạn có thể thiết lập điểm cuối AWS PrivateLink để cho phép phiên bản của bạn kéo hình ảnh từ kho riêng của bạn mà không cần phải đi qua Internet công cộng.
Câu hỏi: Cách tốt nhất để quản lý hình ảnh và kho của tôi là gì?
Amazon ECR cung cấp API và giao diện dòng lệnh để tạo, giám sát và xóa kho, đồng thời đặt quyền đối với kho. Bạn có thể thực hiện các hành động tương tự trong bảng điều khiển Amazon ECR, truy cập được qua phần “Kho” của bảng điều khiển Amazon ECR. Amazon ECR cũng tích hợp với CLI Docker cho phép bạn đẩy, kéo và gắn thẻ hình ảnh trên bộ máy phát triển.
Câu hỏi: Tôi có thể sử dụng Amazon ECR trong các môi trường cục bộ và tại chỗ không?
Có. Bạn có thể truy cập Amazon ECR ở mọi nơi mà Docker chạy, chẳng hạn như máy tính để bàn và môi trường tại chỗ.
Câu hỏi: Thư viện công khai của Amazon ECR có cung cấp hình ảnh do AWS xuất bản không?
Có. Các dịch vụ như Amazon EKS, Amazon SageMaker và AWS Lambda xuất bản các thành phần lạ và hình ảnh trong bộ chứa được sử dụng công khai lên Amazon ECR.
Câu hỏi: Amazon ECR có hoạt động với Amazon ECS không?
Có. Amazon ECR được tích hợp với Amazon ECS cho phép bạn dễ dàng lưu trữ, chạy và quản lý hình ảnh trong bộ chứa cho các ứng dụng chạy trên Amazon ECS. Bạn chỉ cần chỉ định kho Amazon ECR trong định nghĩa tác vụ và Amazon ECS sẽ truy xuất hình ảnh thích hợp cho ứng dụng của bạn.
Câu hỏi: Amazon ECR có hoạt động với AWS Elastic Beanstalk không?
Có. AWS Elastic Beanstalk hỗ trợ Amazon ECR trong cả môi trường Docker có một và nhiều bộ chứa. Nhờ vậy, bạn có thể dễ dàng triển khai hình ảnh trong bộ chứa được lưu trong Amazon ECR với AWS Elastic Beanstalk. Bạn chỉ cần chỉ định kho Amazon ECR trong cấu hình Dockerrun.aws.json và đính kèm chính sách AmazonEC2ContainerRegistryReadOnly vào vai trò phiên bản bộ chứa của bạn.
Câu hỏi: Amazon ECR hỗ trợ phiên bản nào của Docker Engine?
Amazon ECR hiện hỗ trợ Docker Engine 1.7.0 trở lên.
Câu hỏi: Amazon ECR hỗ trợ phiên bản nào của Docker Registry API?
Amazon ECR hỗ trợ thông số kỹ thuật của Docker Registry V2 API.
Câu hỏi: Amazon ECR sẽ tự động xây dựng các hình ảnh từ Dockerfile?
Không. Tuy nhiên, Amazon ECR tích hợp với một số giải pháp CI/CD phổ biến để cung cấp khả năng này. Xem Trang đối tác Amazon ECR để biết thêm thông tin.
Câu hỏi: Amazon ECR có hỗ trợ quyền truy cập liên kết không?
Có. Amazon ECR được tích hợp với AWS Identity and Access Management (IAM) hỗ trợ liên kết danh tính cho truy cập được ủy thác tới Bảng điều khiển quản lý AWS hoặc API AWS.
Câu hỏi: Amazon ECR hỗ trợ phiên bản nào của thông số kỹ thuật Tệp kê khai hình ảnh Docker?
Amazon ECR hỗ trợ Tệp kê khai hình ảnh Docker phiên bản 2, định dạng Schema 2. Để duy trì khả năng tương thích ngược với các hình ảnh Schema 1, Amazon ECR sẽ tiếp tục chấp nhận các hình ảnh đã tải lên ở định dạng Schema 1. Ngoài ra, Amazon ECR có thể dịch xuôi từ một hình ảnh ở Schema 2 xuống Schema 1 khi kéo bằng phiên bản cũ của Docker Engine (1.9 trở xuống).
Câu hỏi: Amazon ECR có hỗ trợ định dạng Sáng kiến bộ chứa mở (OCI) không?
Có. Amazon ECR tương thích với thông số kỹ thuật hình ảnh Sáng kiến bộ chứa mở (OCI) cho phép bạn đẩy và kéo các thành phần lạ và hình ảnh trong OCI. Amazon ECR cũng có thể dịch giữa các hình ảnh Docker Image Manifest V2, Schema 2 và các hình ảnh trong OCI khi kéo.
Bảo mật
Câu hỏi: Amazon ECR giúp đảm bảo an toàn cho các hình ảnh trong bộ chứa bằng cách nào?
Amazon ECR tự động mã hóa các hình ảnh được lưu trữ bằng mã hóa phía máy chủ Amazon S3 hoặc mã hóa AWS KMS, đồng thời truyền các hình ảnh trong bộ chứa của bạn qua HTTPS. Bạn có thể cấu hình các chính sách để quản lý quyền và kiểm soát truy cập vào hình ảnh của bạn bằng cách sử dụng người dùng và vai trò của AWS Identity and Access Management (IAM), mà không cần trực tiếp quản lý thông tin xác thực trên các phiên bản EC2.
Câu hỏi: Làm thế nào để có thể sử dụng AWS Identity and Access Management (IAM) cho các quyền?
Bạn có thể sử dụng các chính sách dựa trên tài nguyên IAM để kiểm soát, giám sát người và sự việc (ví dụ: các phiên bản EC2) có thể truy cập những hình ảnh trong bộ chứa cũng như cách thức, thời gian và vị trí người/sự việc đó có thể truy cập chúng. Để bắt đầu, hãy sử dụng Bảng điều khiển quản lý AWS để tạo các chính sách dựa trên tài nguyên cho kho của bạn. Hoặc, bạn có thể sử dụng các chính sách mẫu và đính kèm chúng vào kho của bạn qua Amazon ECR CLI.
Câu hỏi: Tôi có thể chia sẻ hình ảnh của tôi trên các tài khoản AWS không?
Có. Dưới đây là ví dụ về cách tạo và đặt chính sách để chia sẻ hình ảnh giữa các tài khoản.
Câu hỏi: Amazon ECR có quét các hình ảnh trong bộ chứa để tìm lỗ hổng không?
Bạn có thể bật Amazon ECR để tự động quét hình ảnh trong bộ chứa của mình nhằm tìm một loạt lỗ hổng của hệ điều hành. Bạn cũng có thể quét hình ảnh bằng lệnh API. Amazon ECR sẽ thông báo cho bạn qua API và trong bảng điều khiển khi quá trình quét hoàn tất. Để quét hình ảnh nâng cao, bạn có thể bật Amazon Inspector.
Tìm hiểu thêm về mức định giá Amazon ECR