一般問題
私有儲存庫不提供內容搜尋功能,並且在允許提取映像之前,需要使用 AWS 帳戶登入資料進行 Amazon IAM 身份驗證。公有儲存庫具有描述性內容,並且允許任何人隨時隨地提取映像,而無需 AWS 帳戶或使用 IAM 登入資料。在 Amazon ECR 公有庫中也可提供公有儲存庫映像。
使用 Amazon ECR
問:如何開始使用 Amazon ECR?
開始使用 Amazon ECR 的最佳方法是使用 Docker CLI 來推送和提取您的第一個映像。如需詳細資訊,請參閱入門頁面。
問:是否可以在 VPC 內存取 Amazon ECR?
是。您可以將 AWS PrivateLink 端點設定為無須周遊公有網際網路,即可讓執行個體從您的私有儲存庫提取映像。
問:管理儲存庫和映像的最佳方法為何?
Amazon ECR 提供命令列界面和 API,以建立、監控和刪除儲存庫及設定儲存庫許可。您可以在 Amazon ECR 主控台執行相同的動作,從 Amazon ECR 主控台的 "Repositories" (儲存庫) 部分可以存取該主控台。Amazon ECR 也與 Docker CLI 整合,允許您在開發機器上推送、提取和標記映像。
問:是否可以在本機和內部部署環境內使用 Amazon ECR?
是。您可以在執行 Docker 的任何地方存取 Amazon ECR,如桌面和內部部署環境。
問:Amazon ECR 公有庫是否提供 AWS 發佈的映像?
是。Amazon EKS、Amazon SageMaker 和 AWS Lambda 等服務將其官方的公用容器映像和成品發佈至 Amazon ECR。
問:Amazon ECR 是否可以與 Amazon ECS 搭配使用?
是。Amazon ECR 已與 Amazon ECS 整合,讓您可輕鬆存放、執行及管理在 Amazon ECS 執行的應用程式容器映像。您只需在任務定義中指定 Amazon ECR 儲存庫,Amazon ECS 就會替應用程式擷取適合的映像。
問:Amazon ECR 是否可以與 AWS Elastic Beanstalk 搭配使用?
是。AWS Elastic Beanstalk 目前支援單一容器和多容器 Docker 環境的 Amazon ECR,讓您輕鬆地將存放於 Amazon ECR 的容器映像部署至 AWS Elastic Beanstalk。您只要在 Dockerrun.aws.json 組態中指定 Amazon ECR 儲存庫,並將 AmazonEC2ContainerRegistryReadOnly 政策連接至容器執行個體角色即可。
問:Amazon ECR 支援哪個 Docker Engine 版本?
Amazon ECR 目前支援 Docker Engine 1.7.0 及更新版本。
問:Amazon ECR 支援哪個 Docker Registry API 版本?
Amazon ECR 支援 Docker Registry V2 API 規格。
問:Amazon ECR 是否會自動從 Dockerfile 建置映像?
否。不過,Amazon ECR 與多個熱門的 CI/CD 解決方案整合,可提供此功能。如需詳細資訊,請參閱 Amazon ECR 合作夥伴頁面。
問:Amazon ECR 是否支援聯合存取權?
是。Amazon ECR 已經與 AWS Identity and Access Management (IAM) 整合,支援將存取權委派給 AWS 管理主控台或 AWS API 的聯合身分。
問:Amazon ECR 支援哪個版本的 Docker Image Manifest 規格?
Amazon ECR 支援 Docker Image Manifest V2, Schema 2 格式。為了維持與 Schema 1 映像的回溯相容性,Amazon ECR 將持續接受以 Schema 1 格式上傳的映像。此外,使用舊版 Docker Engine (1.9 和更舊版本) 提取映像時,Amazon ECR 可以將 Schema 2 映像轉譯為 Schema 1 映像。
問:Amazon ECR 是否支援 Open Container Initiative (OCI) 格式?
是。Amazon ECR 與 Open Container Initiative (OCI) 映像規格相容,可讓您推送和提取 OCI 映像和成品。提取映像時,Amazon ECR 還能在 Docker Image Manifest V2, Schema 2 映像和 OCI 映像之間進行轉譯。
安全性
問:Amazon ECR 如何協助確保容器映像的安全?
Amazon ECR 使用 Amazon S3 伺服器端加密或 AWS KMS 加密自動加密靜態映像,並透過 HTTPS 傳輸容器映像。您可以使用 AWS Identity and Access Management (IAM) 使用者與角色來設定政策,以管理許可和控制映像的存取,而不必在 EC2 執行個體上直接管理登入資料。
問:如何將 AWS Identity and Access Management (IAM) 用於許可?
您可以使用 IAM 以資源為基礎的政策,控制和監控可以存取容器映像的人員和項目 (如 EC2 執行個體),以及存取的方法、時間和位置。若要開始使用,請使用 AWS 管理主控台為儲存庫建立以資源為基礎的政策。或者,可以使用範本政策,並透過 Amazon ECR CLI 將其連接至儲存庫。
問:是否可以跨 AWS 帳戶共用映像?
是。這個範例說明如何針對跨帳戶映像共用建立和設定政策。
問:Amazon ECR 是否掃描容器映像中的漏洞?
您可以啟用 Amazon ECR 來自動掃描您的容器映像是否存在廣泛的作業系統漏洞。您還可以使用 API 命令掃描映像,當掃描完成時,Amazon ECR 將透過 API 和主控台通知您。若要進行增強的映像掃描,可以開啟 Amazon Inspector。
進一步了解 Amazon ECR 定價