Amazon Elastic Container Registry 功能
Amazon 容器编排工具集成
全部打开
Amazon Elastic Container Registry (Amazon ECR) 与 Amazon Elastic Container Service (Amazon ECS) 和 Amazon Elastic Kubernetes Service (Amazon EKS) 集成,这意味着您可以使用任一编排工具为应用程序轻松存储并运行容器映像。您需要做的只是在您的任务或 Pod 定义中指定 Amazon ECR 存储库,以便 Amazon ECS 或 Amazon EKS 为您的应用程序检索适当的映像。
公有容器映像和构件库
全部打开
您可以发现并使用供应商、开源项目和社区开发人员在 Amazon ECR 公有库上公开共享的容器软件。可在库中找到操作系统、AWS 发布的映像、Kubernetes 附加功能和各种文件(如 Helm 图表)等热门基础映像。您无需使用 AWS 账户即可搜索或提取公有映像,但是使用 AWS 账户能够更方便快速地使用公有容器软件。
高可用性和持久性
全部打开
Amazon ECR 将您的容器映像和构件存储在 Amazon Simple Storage Service(S3)中。Amazon S3 可达到 99.999999999%(11 个 9)的数据持久性,因为 S3 会自动创建并存储跨多个系统的所有 S3 对象的副本。这意味着您的数据在需要时可用,并可抵御故障、错误和威胁。对于高可用性应用程序,Amazon ECR 还能自动将您的数据复制到多个 AWS 区域。
团队和公开协作
全部打开
凭借 Amazon ECR,您可以使用命名空间在注册表中定义并整理存储库。这将允许您根据团队的现有工作流程整理存储库。您可以通过资源级策略设置其他用户可在您存储库上执行的 API 操作(如 create、list、describe、delete 和 get),让您轻松地与其他用户和 AWS 账户共享存储库。您可以与世界上的任何人轻松共享您的容器构件,只需将其存储在公有存储库中即可。
访问控制
全部打开
Amazon ECR 使用 AWS Identity and Access Management (IAM) 来控制和监控哪些人以及哪些对象(例如 EC2 实例)可以访问您的容器映像。通过 IAM,您可以定义策略,以便允许同一 AWS 账户或其他账户中的用户访问您位于私有存储库中的容器映像。您还可以为不同用户和角色指定不同的权限(例如,推送、提取或完全管理员权限),从而进一步改进这些策略。世界上的任何人都能够访问您存储在公有数据库中,供全球协作的容器映像。
加密
全部打开
您可以通过 HTTPS 将容器映像传输到 Amazon ECR,或者从其中传出映像。您的映像还能够使用 Amazon S3 服务器端加密自动实现静态加密。Amazon ECR 还让您选择由 AWS Key Management Service (AWS KMS) 管理的您自己的密钥,以加密静态映像。
拉式缓存存储库
全部打开
使用 Amazon ECR 的拉式缓存存储库,您可以检索、存储和同步存储在可公开访问的容器注册表中的容器工件。它们可提供您需要的高下载速率,以及您依赖的可用性、安全性和规模。通过频繁的注册表同步和无需管理其他工具,拉式缓存存储库可以帮助您保持公共注册表的容器映像最新信息。
图像签名和信任验证
全部打开Amazon ECR 现在支持托管容器镜像签名,以增强您的安全状况并消除设置签名的过程。容器映像签名让您能够验证映像是否来自可信来源。借助托管式签名,ECR 将容器映像签名的设置简化为只需在 ECR 控制台中单击几下或进行一次 API 调用即可完成。 要启用托管签名,您需要使用签名配置文件创建签名规则,这是一种独特的 AWS 资源,允许您指定签名有效性等参数,以及哪些 IAM 委托人可以签名。然后,您可以指定希望 ECR 登录哪些存储库映像,这些镜像可以是注册表中的所有存储库,也可以是使用存储库名称作为筛选器存储库的子集。配置完成后,ECR 将使用推送映像的 IAM 委托人的证书在新映像推送到指定存储库时自动对其进行签名。从这里开始。