- Contenedores›
- Elastic Container Registry›
- Preguntas frecuentes
Preguntas frecuentes sobre Amazon Elastic Container Registry
Aspectos generales
¿Qué es Amazon Elastic Container Registry (Amazon ECR)?
Amazon ECR es un registro de contenedores completamente administrado que facilita a los desarrolladores compartir e implementar contenedores de imágenes y artefactos. Amazon ECR se integra con Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service (Amazon EKS) y AWS Lambda, lo que permite simplificar el desarrollo para el flujo de trabajo de producción. Con Amazon ECR, ya no es necesario que utilice sus propios repositorios de contenedores ni que se preocupe por escalar la infraestructura subyacente. Amazon ECR aloja las imágenes en una arquitectura de alta disponibilidad y escalable, lo que permite implementar contenedores para las aplicaciones con fiabilidad. La integración con AWS Identity and Access Management (IAM) brinda un control a nivel de recursos de cada repositorio que le permite compartir imágenes en toda su organización o con cualquier persona del mundo.
¿Por qué debería utilizar Amazon ECR?
Con Amazon ECR ya no es necesario utilizar ni escalar la infraestructura necesaria para impulsar el registro de contenedores. Amazon ECR utiliza Amazon Simple Storage Service (S3) para el almacenamiento, de modo que maximiza la disponibilidad y la accesibilidad de las imágenes de sus contenedores y permite implementar nuevos contenedores para las aplicaciones de manera fiable. Amazon ECR transfiere las imágenes de los contenedores mediante HTTPS y las cifra automáticamente en reposo. Puede configurar políticas para gestionar los permisos en cada repositorio y restringir el acceso a usuarios y funciones de IAM u otras cuentas de AWS. Amazon ECR se integra con Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda y la CLI de Docker, lo que le permite simplificar los flujos de trabajo de desarrollo y producción. Puede insertar fácilmente las imágenes de contenedores en Amazon ECR con la interfaz de línea de comandos (CLI) de Docker desde el equipo de desarrollo, y los organizadores de contenedores o recursos informáticos de Amazon pueden extraerlas directamente para las implementaciones de producción.
¿Cuánto cuesta Amazon ECR?
Con Amazon ECR no hay cuotas predefinidas ni compromisos. Solo tiene que pagar por la cantidad de datos almacenados en los repositorios públicos o privados y por los datos transferidos a Internet. Consulte nuestra página Precios para obtener más detalles.
¿Amazon ECR es un servicio global?
Amazon ECR es un servicio regional y está diseñado para proporcionarle flexibilidad en la implementación de imágenes. Puede insertar y extraer imágenes en la misma región de AWS donde se ejecute el clúster de Docker para disfrutar del mejor rendimiento. También puede acceder a Amazon ECR en cualquier lugar donde se ejecute Docker, como escritorios y el entorno local. La extracción de imágenes entre regiones o en Internet tendrá latencia y costos por transferencia de datos adicionales.
¿Amazon ECR puede alojar imágenes de contenedores públicos?
Sí. Amazon ECR cuenta con un sitio web y un registro de contenedores de alta disponibilidad que facilita compartir o buscar software de contenedores públicos. Cualquier persona, sin importar si tiene una cuenta de AWS, puede utilizar la Galería pública de Amazon ECR con el fin de buscar y descargar imágenes de contenedores de uso común, como sistemas operativos, imágenes publicadas de AWS y archivos, como gráficos de Helm, para Kubernetes.
¿Cuál es la diferencia entre los repositorios públicos y los privados de Amazon ECR?
Un repositorio privado no le ofrece las capacidades de búsqueda de contenidos y requiere autenticación basada en Amazon IAM con credenciales de cuenta de AWS antes de extraer las imágenes. Un repositorio público dispone de contenido descriptivo y permite a cualquier persona desde cualquier lugar extraer imágenes sin necesidad de utilizar una cuenta de AWS o credenciales de IAM. Las imágenes de repositorios públicos también están disponibles en la galería pública de Amazon ECR.
¿Qué capacidades de conformidad puedo activar en Amazon ECR?
Puede usar AWS CloudTrail en Amazon ECR para proporcionar un historial de todas las acciones de API, como quién extrae una imagen y cuándo se mueven etiquetas entre imágenes. Los administradores también pueden buscar qué instancias EC2 extrajeron qué imágenes.
Uso de Amazon ECR
¿Cómo puedo comenzar a usar Amazon ECR?
La mejor forma de comenzar a utilizar Amazon ECR es emplear la CLI de Docker para insertar y extraer la primera imagen. Visite nuestra página Introducción para obtener más información.
¿Puedo acceder a Amazon ECR desde una VPC?
Sí. Es posible configurar puntos de conexión de AWS PrivateLink para permitir que las instancias obtengan imágenes desde los repositorios privados sin atravesar la red pública de Internet.
¿Cuál es el mejor modo de administrar mis repositorios e imágenes?
Amazon ECR proporciona una interfaz de línea de comandos y las API para crear, supervisar y eliminar repositorios y establecer permisos en repositorios. Puede realizar las mismas acciones en la consola de Amazon ECR, a la que puede obtener acceso a través la sección “Repositorios” de la consola de Amazon ECR. Amazon ECR también se integra con la CLI de Docker, lo que permite insertar, extraer y etiquetar imágenes en el equipo de desarrollo.
¿Cómo comparto una imagen de manera pública mediante Amazon ECR?
Puede publicar una imagen en la galería pública de Amazon ECR si inicia sesión en su cuenta de AWS y la envía a un repositorio público que haya creado. Se le asignará un alias único por cuenta para utilizarlo en URL de imágenes que identificará todas las imágenes publicas que publique.
¿Puedo utilizar un alias personalizado para mis imágenes públicas?
Sí. Puede solicitar un alias personalizado como el nombre del proyecto o de su organización, a menos que sea un alias reservado. Los nombres que identifican a los servicios de AWS están reservados. Los nombres que identifican a los vendedores de AWS Marketplace también pueden estar reservados. Revisaremos y aprobaremos su solicitud de alias personalizado en el plazo de varios días a menos que dicha solicitud infrinja la política de uso aceptable de AWS u otras políticas de AWS.
¿Cómo extraigo una imagen pública de Amazon ECR?
Para extraer debe utilizar el conocido comando “docker pull” con la URL de la imagen. Puede buscar fácilmente esta URL al encontrar imágenes con un alias de editor, nombre de imagen o descripción de imagen a través de la galería pública de Amazon ECR. Las URL de imagen tienen el formato public.ecr.aws/<alias>/<image>:<tag>, por ejemplo: public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5
¿Amazon ECR reproduce imágenes entre regiones de AWS?
Sí. Amazon ECR está diseñado para darle flexibilidad en el almacenamiento y la implementación de sus imágenes. Puede crear canalizaciones de implementación a fin de crear imágenes, publicarlas en Amazon ECR en una región y que Amazon ECR las reproduzca de manera automática en otras regiones y cuentas para la implementación en clústeres de varias regiones.
¿Puedo usar Amazon ECR en entornos locales y en las instalaciones?
Sí. Puede obtener acceso a Amazon ECR en cualquier lugar donde se ejecute Docker, como en equipos y en el entorno de sus instalaciones.
¿La Galería pública de Amazon ECR brinda imágenes publicadas de AWS?
Sí. Servicios como Amazon EKS, Amazon SageMaker y AWS Lambda publican las imágenes y artefactos de contenedores de uso público oficiales en Amazon ECR.
¿Amazon ECR funciona con Amazon ECS?
Sí. Amazon ECR está integrado con Amazon ECS, lo que permite almacenar, ejecutar y administrar con facilidad imágenes de contenedores para aplicaciones que se ejecutan en Amazon ECS. Tan solo debe especificar el repositorio de Amazon ECR en la definición de tareas y Amazon ECS recuperará las imágenes correspondientes para las aplicaciones.
¿Amazon ECR funciona con AWS Elastic Beanstalk?
Sí. AWS Elastic Beanstalk admite Amazon ECR para entornos de Docker de un solo contenedor y de varios contenedores, lo que permite implementar con facilidad imágenes de contenedores almacenadas en Amazon ECR con AWS Elastic Beanstalk. Todo lo que tiene que hacer es especificar el repositorio de Amazon ECR en su configuración Dockerrun.aws.json y adjuntar la política AmazonEC2ContainerRegistryReadOnly a la función de la instancia de su contenedor.
¿Qué versión de Docker Engine admite Amazon ECR?
Actualmente, Amazon ECR admite Docker Engine 1.7.0 y versiones superiores.
¿Qué versión de la API de Docker Registry admite Amazon ECR?
Amazon ECR admite la especificación de API V2 de Docker Registry.
¿Amazon ECR compila imágenes de forma automática a partir de un archivo Docker?
No. Sin embargo, Amazon ECR se integra con varias soluciones conocidas de integración continua/implementación continua para ofrecer esta característica. Consulte la página de socios de Amazon ECR para obtener más información.
¿Amazon ECR admite el acceso federado?
Sí. Amazon ECR se integra con AWS Identity and Access Management (IAM), que admite la federación de identidades para el acceso delegado a la Consola de administración de AWS o las API de AWS.
¿Qué versión de la especificación del manifiesto de imágenes de Docker admite Amazon ECR?
Amazon ECR admite el formato de manifiesto de imágenes de Docker V2, esquema 2. Para mantener la compatibilidad con imágenes del esquema 1, Amazon ECR seguirá aceptando imágenes cargadas en este formato. Además, Amazon ECR puede traducir de una imagen de esquema 2 al esquema 1 al utilizar una versión más antigua del motor Docker (1.9 e inferior) en la recepción.
¿Admite Amazon ECR el formato de la iniciativa de contenedores abiertos (OCI)?
Sí. Amazon ECR es compatible con la especificación de imágenes de la iniciativa de contenedores abiertos (OCI), lo que permite enviar y recibir imágenes y artefactos e OCI. Amazon ECR también puede traducir entre imágenes del manifiesto de imágenes de Docker V2, esquema 2 e imágenes OCI en la recepción.
Seguridad
¿Cómo ayuda Amazon ECR a garantizar la seguridad de las imágenes de los contenedores?
Amazon ECR cifra automáticamente las imágenes en reposo mediante el cifrado de servidor Amazon S3 o de AWS KMS y transfiere las imágenes de los contenedores mediante HTTPS. Puede configurar políticas para administrar permisos y controlar el acceso a las imágenes a través de usuarios y roles de AWS Identity and Access Management (IAM), sin tener que gestionar credenciales directamente en las instancias de EC2.
¿Cómo puedo utilizar AWS Identity and Access Management (IAM) para permisos?
Puede utilizar las políticas basadas en recursos de IAM para controlar y monitorear quién y qué (p. ej., instancias EC2) puede obtener acceso a las imágenes de los contenedores, además de cómo, cuándo y dónde es posible el acceso. Primero, utilice la consola de administración de AWS para crear políticas basadas en recursos destinados a sus repositorios. También puede utilizar políticas de ejemplo y adjuntarlas a sus repositorios a través de la CLI de Amazon ECR.
¿Puedo compartir mis imágenes entre cuentas de AWS?
Sí. Aquí puede ver un ejemplo de cómo crear y establecer una política para el uso compartido de imágenes entre cuentas.
¿Amazon ECR analiza las imágenes de contenedores en busca de vulnerabilidades?
Puede habilitar Amazon ECR para que analice automáticamente sus imágenes de contenedores en busca de un amplio rango de vulnerabilidades en los sistemas operativos. También puede analizar imágenes mediante un comando de API, y Amazon ECR lo notificará a través de la API y en la consola cuando se complete el análisis. Para un análisis de imágenes mejorado, puede activar Amazon Inspector.