FAQ Amazon Elastic Container Registry
Umum
Apa itu Amazon Elastic Container Registry (Amazon ECR)?
Amazon ECR merupakan registri kontainer yang dikelola sepenuhnya yang memudahkan developer untuk membagikan dan menerapkan citra kontainer serta artefak. Amazon ECR terintegrasi dengan Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service (Amazon EKS), dan AWS Lambda, yang menyederhanakan pengembangan Anda ke alur kerja produksi. Amazon ECR membuat Anda tak perlu lagi mengoperasikan repositori kontainer Anda sendiri atau khawatir tentang penskalaan infrastruktur dasar. Amazon ECR menghosting citra Anda dalam arsitektur yang selalu tersedia dan dapat dikembangkan, sehingga kontainer untuk aplikasi Anda dapat diterapkan dengan andal. Integrasi dengan AWS Identity and Access Management (IAM) memberikan kontrol tingkat sumber daya setiap repositori agar Anda dapat berbagi citra di seluruh organisasi Anda atau dengan siapa pun di dunia.
Mengapa saya harus menggunakan Amazon ECR?
Amazon ECR menghilangkan kebutuhan untuk mengoperasikan dan menskalakan infrastruktur yang diperlukan untuk memberi daya pada registri kontainer Anda. Amazon ECR menggunakan Amazon Simple Storage Service (S3) untuk penyimpanan agar citra kontainer Anda sangat tersedia dan dapat diakses, memungkinkan Anda untuk melakukan deployment kontainer baru untuk aplikasi Anda dengan andal. Amazon ECR mentransfer citra kontainer Anda melalui HTTPS dan secara otomatis mengenkripsi citra Anda saat diam. Anda dapat mengonfigurasi kebijakan untuk mengelola izin untuk setiap repositori dan membatasi akses ke pengguna, peran IAM, atau akun AWS lainnya. Amazon ECR terintegrasi dengan Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda dan CLI Docker, agar alur kerja pengembangan dan produksi Anda dapat disederhanakan. Anda dapat dengan mudah mendorong image kontainer ke Amazon ECR menggunakan CLI Docker dari mesin pengembangan Anda, dan Amazon ECR dapat menariknya langsung untuk penerapan produksi.
Berapa harga Amazon ECR?
Dengan Amazon ECR, tidak perlu biaya ataupun komitmen awal. Anda cukup membayar sesuai jumlah data yang Anda simpan di repositori publik dan privat dan data yang ditransfer ke Internet. Lihat halaman Harga kami untuk detail selengkapnya.
Apakah Amazon ECR merupakan layanan global?
Amazon ECR merupakan suatu layanan Regional dan dirancang untuk menghadirkan fleksibilitas dalam cara Anda menerapkan citra. Anda memiliki kemampuan untuk mendorong/menarik citra ke Wilayah AWS yang sama tempat klaster Docker Anda berjalan untuk performa terbaik. Anda juga dapat mengakses Amazon ECR di mana saja yang dijalankan Docker, seperti desktop dan lingkungan on-premise. Menarik citra antar Wilayah atau keluar ke internet akan berdampak pada latensi tambahan dan biaya transfer data.
Apakah Amazon ECR dapat melakukan hosting citra kontainer publik?
Ya. Amazon ECR memiliki registri kontainer dan situs web yang sangat tersedia yang memudahkan Anda untuk berbagi atau mencari perangkat lunak kontainer publik. Siapa pun yang memiliki atau tidak memiliki akun AWS dapat menggunakan galeri publik Amazon ECR untuk mencari dan mengunduh citra kontainer yang umum digunakan, seperti sistem operasi, citra yang dipublikasikan oleh AWS, dan file, seperti bagan Helm untuk Kubernetes.
Apa perbedaan antara repositori publik dan privat Amazon ECR?
Repositori pribadi tidak memiliki kemampuan pencarian konten dan memerlukan autentikasi berbasis Amazon IAM menggunakan kredensial akun AWS sebelum mengizinkan penarikan image. Repositori publik memiliki konten deskriptif dan memungkinkan siapa pun di mana pun menarik citra tanpa perlu akun AWS ataupun menggunakan kredensial IAM. Citra repositori publik juga tersedia di galeri publik Amazon ECR.
Kemampuan kepatuhan apa yang dapat saya aktifkan di Amazon ECR?
Anda dapat menggunakan AWS CloudTrail di Amazon ECR untuk memberikan riwayat semua tindakan API seperti siapa yang menarik image dan kapan tag dipindahkan antar image. Administrator juga dapat menemukan instans EC2 mana yang menarik image mana.
Menggunakan Amazon ECR
Bagaimana cara mulai menggunakan Amazon ECR?
Cara terbaik untuk mulai menggunakan Amazon ECR adalah menggunakan CLI Docker untuk mendorong dan menarik citra pertama Anda. Kunjungi halaman Memulai untuk informasi selengkapnya.
Apakah saya dapat mengakses Amazon ECR di dalam sebuah VPC?
Ya. Anda dapat mengatur titik akhir AWS PrivateLink untuk memungkinkan instans Anda mengambil citra dari repositori privat Anda tanpa melintasi internet publik.
Apa cara terbaik untuk mengelola repositori dan citra saya?
Amazon ECR menyediakan antarmuka baris perintah dan API untuk membuat, memantau, dan menghapus repositori serta menetapkan izin repositori. Anda dapat melakukan tindakan yang sama di konsol Amazon ECR, yang dapat diakses melalui bagian “Repositori” dari konsol Amazon ECR. Amazon ECR juga terintegrasi dengan Docker CLI, memungkinkan Anda mendorong, menarik, dan menandai citra pada mesin pengembangan Anda.
Bagaimana cara membagikan citra secara publik menggunakan Amazon ECR?
Anda mempublikasikan citra ke galeri publik Amazon ECR dengan masuk ke akun AWS dan mendorong ke repositori publik yang Anda buat. Anda diberi alias unik per akun untuk digunakan di URL citra yang mengidentifikasi semua citra publik yang Anda publikasikan.
Apakah saya dapat menggunakan alias kustom untuk citra publik?
Ya. Anda dapat meminta alias kustom seperti organisasi atau nama proyek Anda, kecuali alias itu adalah yang dipesan. Nama yang mengidentifikasi layanan AWS dipesan. Nama yang mengidentifikasi penjual AWS Marketplace juga dapat dipesan. Kami akan meninjau dan menyetujui permintaan alias kustom Anda dalam jangka waktu beberapa hari, kecuali permintaan alias Anda melanggar Kebijakan Penggunaan yang Bisa Diterima AWS atau kebijakan AWS lainnya.
Bagaimana cara menarik citra publik dari Amazon ECR?
Anda menarik menggunakan perintah ‘docker pull’ yang sudah dikenal dengan URL citra. Anda bisa mencari URL ini dengan mudah, mencari citra menggunakan alias penerbit, nama citra, atau deskripsi citra menggunakan galeri publik Amazon ECR. Format URL citra adalah public.ecr.aws/<alias>/<image>:<tag>, misalnya public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5
Apakah Amazon ECR mereplikasi citra ke seluruh AWS Region?
Ya. Amazon ECR dirancang untuk memberi Anda fleksibilitas dalam hal tempat Anda menyimpan dan cara Anda menerapkan citra Anda. Anda dapat membuat jalur penerapan yang membangun citra, mendorongnya ke Amazon ECR di satu Wilayah, dan Amazon ECR dapat secara otomatis mereplikasinya ke Wilayah dan akun lain untuk penerapan ke kluster multi-Wilayah.
Apakah Amazon ECR dapat digunakan di lingkungan lokal dan on-premise?
Ya. Anda dapat mengakses Amazon ECR di mana pun yang dijalankan Docker seperti desktop dan lingkungan on-premise.
Apakah galeri publik Amazon ECR menyediakan citra yang dipublikasikan AWS?
Ya. Layanan seperti Amazon EKS, Amazon SageMaker, dan AWS Lambda memublikasikan citra dan artefak kontainer penggunaan publik resmi mereka ke Amazon ECR.
Apakah Amazon ECR dapat bekerja dengan Amazon ECS?
Ya. Amazon ECR terintegrasi dengan Amazon ECS, memungkinkan Anda dengan mudah menyimpan, menjalankan, dan mengelola citra kontainer untuk aplikasi yang berjalan di Amazon ECS. Yang perlu Anda lakukan adalah menentukan repositori Amazon ECR dalam definisi tugas Anda dan Amazon ECS akan mengambil citra yang sesuai untuk aplikasi Anda.
Apakah Amazon ECR dapat bekerja dengan AWS Elastic Beanstalk?
Ya. AWS Elastic Beanstalk mendukung Amazon ECR untuk lingkungan Docker tunggal dan multikontainer sehingga memungkinkan Anda untuk dengan mudah melakukan deployment citra kontainer yang disimpan di Amazon ECR dengan AWS Elastic Beanstalk. Yang perlu Anda lakukan adalah menentukan repositori Amazon ECR di konfigurasi Dockerrun.aws.json Anda dan melampirkan kebijakan AmazonEC2ContainerRegistryReadOnly ke peran instans kontainer Anda.
Versi Mesin Docker apa yang didukung oleh Amazon ECR?
Amazon ECR saat ini mendukung Docker Engine 1.7.0 ke atas.
Versi API Docker Registry apa yang didukung oleh Amazon ECR?
Amazon ECR mendukung spesifikasi API Docker Registry V2.
Apakah Amazon ECR akan otomatis membangun citra dari Dockerfile?
Tidak. Namun, Amazon ECR terintegrasi dengan sejumlah solusi CI/CD populer untuk menyediakan kemampuan ini. Lihat halaman Partner Amazon ECR untuk informasi selengkapnya.
Apakah Amazon ECR mendukung akses gabungan?
Ya. Amazon ECR terintegrasi dengan AWS Identity and Access Management (IAM), yang mendukung federasi identitas untuk akses yang didelegasikan ke Konsol Manajemen AWS atau API AWS.
Versi spesifikasi Manifes Citra Docker apa yang didukung oleh Amazon ECR?
Amazon ECR mendukung format Docker Image Manifest V2, Schema 2. Untuk menjaga kompatibilitas mundur dengan image Schema 1, Amazon ECR akan terus menerima image yang diunggah dalam format Schema 1. Selain itu, Amazon ECR dapat menerjemahkan dari image Schema 2 ke Schema 1 saat menarik dengan versi lama dari Mesin Docker (1.9 ke bawah).
Apakah Amazon ECR mendukung format Open Container Initiative (OCI)?
Ya. Amazon ECR kompatibel dengan spesifikasi citra Open Container Initiative (OCI), memungkinkan Anda mendorong dan menarik citra dan artefak OCI. Amazon ECR juga dapat menerjemahkan antara Manifes Citra Docker V2, citra Skema 2 dan citra OCI saat ditarik.
Keamanan
Bagaimana cara Amazon ECR membantu memastikan bahwa citra kontainer aman?
Amazon ECR secara otomatis mengenkripsi citra saat diam menggunakan enkripsi sisi server Amazon S3 atau enkripsi AWS KMS dan mentransfer citra kontainer Anda melalui HTTPS. Anda dapat mengonfigurasi kebijakan untuk mengelola izin dan mengontrol akses ke gambar Anda menggunakan pengguna dan peran AWS Identity and Access Management (IAM) tanpa perlu mengelola kredensial secara langsung di instans EC2 Anda.
Bagaimana cara menggunakan AWS Identity and Access Management (IAM) untuk mendapatkan izin?
Anda dapat menggunakan kebijakan berbasis sumber daya IAM untuk mengontrol dan memantau siapa dan apa (misalnya, instans EC2) yang dapat mengakses citra kontainer Anda, serta bagaimana, kapan, dan di mana mereka dapat mengaksesnya. Untuk memulai, gunakan Konsol Manajemen AWS untuk membuat kebijakan berbasis sumber daya untuk repositori Anda. Atau, Anda dapat menggunakan contoh kebijakan dan melampirkannya ke repositori Anda melalui Amazon ECR CLI.
Apakah saya dapat membagikan citra di seluruh akun AWS?
Ya. Berikut ini adalah contoh cara membuat dan menetapkan kebijakan untuk berbagi citra lintas akun.
Apakah Amazon ECR memindai kerentanan citra kontainer?
Anda dapat mengaktifkan Amazon ECR agar memindai citra kontainer secara otomatis untuk mengecek beragam kerentanan sistem operasi. Anda juga dapat memindai citra menggunakan perintah API, dan Amazon ECR akan memberi tahu Anda melalui API maupun dalam konsol jika pemindaian selesai. Untuk pemindaian citra yang ditingkatkan, Anda dapat mengaktifkan Amazon Inspector.