本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是 Amazon Elastic Container Registry?
Amazon Elastic Container Registry (Amazon ECR) AWS 是一项安全、可扩展且可靠的托管容器镜像注册服务。Amazon ECR 使用 AWS IAM 支持具有基于资源的权限的私有存储库。这样,指定用户或 Amazon EC2 实例可以访问您的容器存储库和映像。您可以使用首选 CLI 推送、提取和管理 Docker 映像、Open Container Itistry (OCI) 映像和 OCI 兼容构件。
**注意**
Amazon ECR 也支持公共容器映像存储库。有关更多信息,请参阅 *Amazon ECR Public 用户指南*中的[什么是 Amazon ECR Public](https://docs.aws.amazon.com/AmazonECR/latest/public/what-is-ecr.html)。
AWS 容器服务团队维护着一个公开的路线图 GitHub。它包含有关团队正在做的事情的信息,并允许所有 AWS 客户提供直接反馈。有关更多信息,请参阅 [AWS 容器路线图](https://github.com/aws/containers-roadmap)。
# Amazon ECR 的概念和组件
Amazon ECR 是 AWS提供的一项完全托管式 Docker 容器注册表服务。它允许您安全可靠地存储、管理和部署 Docker 容器映像。这些概念和组件共同提供安全、可扩展和可靠的 Docker 容器注册表服务 AWS,使您能够高效地管理和部署容器化应用程序。
以下是 Amazon ECR 的一些关键概念和组件:
**注册表**
Amazon ECR 注册表是提供给每个 AWS 账户的私有存储库,您可以在其中创建一个或多个存储库。这些存储库允许您在环境中存储和分发 Docker 镜像、开放容器计划 (OCI) 镜像和其他与 OCI 兼容的工件。 AWS 有关更多信息,请参阅 [Amazon ECR 私有注册表](Registries.md)。
**授权令牌**
您的客户端必须作为 AWS 用户对 Amazon ECR 私有注册表进行身份验证,然后才能推送和提取映像。有关更多信息,请参阅 [Amazon ECR 中的私有注册表身份验证](registry_auth.md)。
**存储库**
Amazon ECR 中的存储库是一个逻辑集合,您可以在其中存储 Docker 映像、Open Container Initiative(OCI)映像和其他与 OCI 兼容的构件。在单个 Amazon ECR 注册表中,您可以有多个存储库来整理容器映像。有关更多信息,请参阅 [Amazon ECR 私有存储库](Repositories.md)。
**存储库策略**
您可以通过存储库策略来控制对存储库及其中的内容的访问。有关更多信息,请参阅 [Amazon ECR 中的私有存储库策略](repository-policies.md)。
**图像**
您可以对存储库推送和提取容器映像。这些映像可以在开发系统中本地使用,也可以在 Amazon ECS 任务定义和 Amazon EKS Pod 规范中使用。有关更多信息,请参阅[将 Amazon ECR 映像与 Amazon ECS 结合使用](ECR_on_ECS.md)和[将 Amazon ECR 映像与 Amazon EKS 结合使用](ECR_on_EKS.md)。
**生命周期策略**
Amazon ECR 生命周期策略允许您通过定义旧映像或未使用映像的修剪和过期规则来管理映像的生命周期。有关更多信息,请参阅 [在 Amazon ECR 中使用生命周期策略自动清理映像](LifecyclePolicies.md)。
**映像扫描**
Amazon ECR 提供一项集成的映像扫描功能,以帮助识别容器映像中的软件漏洞。有关更多信息,请参阅 [在 Amazon ECR 中扫描映像是否存在软件漏洞](image-scanning.md)。
**访问控制**
Amazon ECR 使用 IAM 来控制对您存储库的访问。您可以创建具有推送、提取或管理 Amazon ECR 存储库的特定权限的 IAM 用户、组和角色。有关更多信息,请参阅 [Amazon Elastic Container Registry 中的安全性](security.md)。
**跨账户和跨区域复制**
Amazon ECR 支持跨多个 AWS 账户和区域复制映像,以提高可用性并减少延迟。有关更多信息,请参阅 [Amazon ECR 中的私有映像复制](replication.md)。
**加密**
Amazon ECR 支持使用 AWS KMS对 Docker 映像进行静态服务器端加密。有关更多信息,请参阅 [Amazon ECR 中的数据保护](data-protection.md)。
**AWS Command Line Interface 集成**
AWS CLI 提供了与 Amazon ECR 存储库交互的命令,例如创建、列出、推送和提取映像。
**AWS 管理控制台**
Amazon ECR 也可以通过进行管理 AWS 管理控制台,它提供了一个用户友好的网页界面,便于您处理存储库和映像。
**AWS CloudTrail**
出于安全和合规目的 AWS CloudTrail,Amazon ECR 与集成,允许您记录和审核向 Amazon ECR 发出的 API 调用。有关更多信息,请参阅 [使用记录 Amazon ECR 操作 AWS CloudTrail](logging-using-cloudtrail.md)。
**Amazon CloudWatch**
Amazon ECR 提供可使用 Amazon CloudWatch监控的指标和日志,使您能够跟踪 Amazon ECR 存储库的性能和使用情况。有关更多信息,请参阅 [Amazon ECR 存储库指标](ecr-repository-metrics.md)。
**托管签名**
当图像推送到 Amazon ECR 时,托管签名会自动生成加密签名,从而简化了容器映像签名。有关更多信息,请参阅 [托管签名](managed-signing.md)。
# Amazon ECR 中的常见用例
Amazon ECR 是 AWS提供的一项完全托管式 Docker 容器注册表服务。它提供了一个安全且可扩展的存储库,用于存储和分发 Docker 容器映像,使其成为容器化应用程序部署中必不可少的组件。Amazon ECR 简化了在各种 AWS 服务和本地环境中构建、分发和运行容器化应用程序的过程。
以下是 Amazon ECR 的一些关键用例:
**容器映像存储和分发**
Amazon ECR 充当集中存储库,以在组织内存储和分发 Docker 容器映像或供公众使用。开发人员可以将其容器映像推送到 Amazon ECR,然后从其中的 AWS任何计算环境(例如 Amazon EC2 或 Amazon EKS)中提取这些映像。 AWS Fargate有关更多信息,请参阅 [Amazon ECR 私有存储库](Repositories.md)。
**持续集成和持续部署(CI/CD)**
Amazon ECR 与 AWS CodeBuild AWS CodePipeline、和其他 CI/CD 工具无缝集成,支持自动构建、测试和部署容器化应用程序。容器映像可以作为 CI/CD 管道的一部分自动推送到 Amazon ECR,从而确保在不同的环境中进行一致和可靠的部署。
**微服务架构**
Amazon ECR 非常适合用于微服务架构,在这种微服务架构中,应用程序被分解成更小的解耦服务,打包成容器。每个微服务都可以将自己的容器映像存储在 Amazon ECR 中,从而实现各个服务的独立开发、部署和扩展。
**混合云和多云部署**
Amazon ECR 支持从其他容器注册表(例如 Docker Hub 或第三方注册表)中提取容器映像。这样允许组织使用 Amazon ECR 作为容器映像的中央存储库,在混合云或多云环境中保持一致的部署模式。
**访问控制和安全性**
Amazon ECR 提供了精细的访问控制机制,允许组织控制谁可以从注册表中推送或提取容器映像。它还与集成 AWS Identity and Access Management 以进行身份验证和授权,从而确保对容器镜像的安全访问。有关更多信息,请参阅 [Amazon Elastic Container Registry 中的安全性](security.md)。
**映像漏洞扫描**
Amazon ECR 可自动扫描容器映像,以发现软件漏洞和潜在的配置错误,从而帮助维护安全合规的容器环境。有关更多信息,请参阅 [在 Amazon ECR 中扫描映像是否存在软件漏洞](image-scanning.md)。
**私有容器注册表**
对于具有严格安全或合规要求的组织,Amazon ECR 可用作私有容器注册表,确保敏感的容器映像不会暴露给公共注册表,并且只能在组织的 AWS 环境中访问。有关更多信息,请参阅 [Amazon ECR 私有注册表](Registries.md)。
**使用 Amazon ECR 复制功能实现全球分布式应用程序部署**
利用 Amazon ECR 复制功能,您可以将容器化 Web 应用程序映像集中到主存储库中,从而实现跨多个 AWS 区域的自动分发,确保全球部署一致且延迟低,并减轻运营负担。有关更多信息,请参阅 [Amazon ECR 中的私有映像复制](replication.md)。
**自动清理过时的容器映像**
Amazon ECR 生命周期策略支持根据已定义的规则(例如使用年限、计数或标签)自动清理过时的容器映像,优化存储成本,维护有序的注册表,增强安全性和合规性,并通过自动化简化开发工作流。有关更多信息,请参阅 [在 Amazon ECR 中使用生命周期策略自动清理映像](LifecyclePolicies.md)。
## Amazon ECR 的功能
Amazon ECR 提供以下功能:
+ 生命周期策略有助于管理存储库中映像的生命周期。您可以定义导致清理未使用映像的规则。您可以在将规则应用到存储库之前对其进行测试。有关更多信息,请参阅 [在 Amazon ECR 中使用生命周期策略自动清理映像](LifecyclePolicies.md)。
+ 映像扫描有助于识别容器映像中的软件漏洞。每个存储库都可以配置为**在推送时扫描**。这可确保扫描推送到存储库的每个新映像。然后,您可以检索映像扫描的结果。有关更多信息,请参阅 [在 Amazon ECR 中扫描映像是否存在软件漏洞](image-scanning.md)。
+ 跨区域和跨账户复制使您可以更轻松地将映像放置在需要的位置。它配置为注册表设置,并基于每个区域。有关更多信息,请参阅 [Amazon ECR 中的私有注册表设置](registry-settings.md)。
+ 缓存提取规则提供了在私有 Amazon ECR 注册表中缓存上游注册表中的存储库的方法。使用缓存提取规则时,Amazon ECR 将定期访问上游注册表,以确保 Amazon ECR 私有注册表中缓存的映像为最新状态。有关更多信息,请参阅 [将上游注册表与 Amazon ECR 私有注册表同步](pull-through-cache.md)。
+ 存储库创建模板允许您定义 Amazon ECR 在拉取缓存、推送时创建或复制操作期间代表您创建的存储库的设置。您可以为自动创建的存储库指定标签不可变性、加密配置、存储库策略、生命周期策略和资源标签。有关更多信息,请参阅 [用于控制在缓存拉取、推送时创建或复制操作期间创建的存储库的模板](repository-creation-templates.md)。
+ 当图像推送到 Amazon ECR 时,托管签名会自动生成加密签名,从而简化了容器映像签名。有关更多信息,请参阅 [托管签名](managed-signing.md)。
## 如何开始使用 Amazon ECR
如果您使用 Amazon Elastic Container Service(Amazon ECS)或 Amazon Elastic Kubernetes Service(Amazon EKS),请注意,这两项服务的设置与 Amazon ECR 的设置类似,因为 Amazon ECR 是这两项服务的扩展。
AWS Command Line Interface 与 Amazon ECR 一起使用时,请使用支持最新 Amazon ECR 功能的版本。 AWS CLI 如果您在中看不到对 Amazon ECR 功能的支持 AWS CLI,请升级到最新版本的 AWS CLI。有关安装最新版本的信息 AWS CLI,请参阅《*AWS Command Line Interface 用户指南》 AWS CLI*中的[安装或更新到最新版本](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)的。
要了解如何使用 AWS CLI 和 Docker 将容器映像推送到私有 Amazon ECR 存储库中,请参阅[在 Amazon ECR 中移动映像的整个生命周期](getting-started-cli.md)。
## Amazon ECR 定价
使用 Amazon ECR,您需要为存储库中存储的数据量、图像推送和拉取的数据传输以及您选择执行的图像操作(例如图像签名和复制)付费。有关更多信息,请参阅 [Amazon ECR 定价](https://aws.amazon.com/ecr/pricing/)。