本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 什麼是 Amazon Elastic Container Registry?
Amazon Elastic Container Registry (Amazon ECR) 是一種安全、可擴展且可靠的 AWS 受管容器映像登錄服務。Amazon ECR 使用 IAM 支援具有資源型許可 AWS 的私有儲存庫。如此可讓指定的使用者或 Amazon EC2 執行個體存取您的容器儲存庫及映像。您可以使用偏好的 CLI 來推送、提取和管理 Docker 映像、Open Container Iniative (OCI) 映像以及與 OCI 相容的成品。
**注意**
Amazon ECR 也支援公有容器映像存放庫。如需詳細資訊,請參閱《Amazon ECR Public 使用者指南》**中的[什麼是 Amazon ECR Public](https://docs.aws.amazon.com/AmazonECR/latest/public/what-is-ecr.html)。
AWS 容器服務團隊會在 GitHub 上維護公有藍圖。它包含有關團隊正在進行哪些工作的資訊,並允許所有 AWS 客戶提供直接意見回饋。如需詳細資訊,請參閱 [AWS 容器藍圖](https://github.com/aws/containers-roadmap)。
# Amazon ECR 的概念和元件
Amazon ECR 是由 提供的全受管 Docker 容器登錄服務 AWS。它可讓您安全地可靠地存放、管理和部署 Docker 容器映像。這些概念和元件共同運作,在 中提供安全、可擴展且可靠的 Docker 容器登錄服務 AWS,讓您能夠有效率地管理和部署容器化應用程式。
以下是 Amazon ECR 的一些重要概念和元件:
**登錄**
Amazon ECR 登錄檔是提供給每個 AWS 帳戶的私有儲存庫,您可以在其中建立一或多個儲存庫。這些儲存庫可讓您在 AWS 環境中存放和分發 Docker 映像、Open Container Initiative (OCI) 映像和其他與 OCI 相容的成品。如需詳細資訊,請參閱[Amazon ECR 私有登錄檔](Registries.md)。
**授權字符**
您的用戶端在能夠推送與提取映像前,需要驗證至 Amazon ECR 私有登錄檔以做為 AWS 使用者。如需詳細資訊,請參閱[Amazon ECR 中的私有登錄檔身分驗證](registry_auth.md)。
**儲存庫**
Amazon ECR 中的儲存庫是邏輯集合,您可以在其中存放 Docker 映像、Open Container Initiative (OCI) 映像和其他與 OCI 相容的成品。在單一 Amazon ECR 登錄檔中,您可以有多個儲存庫來組織容器映像。如需詳細資訊,請參閱[Amazon ECR 私有儲存庫](Repositories.md)。
**儲存庫政策**
您可透過儲存庫政策來控制您儲存庫的存取以及其中的內容。如需詳細資訊,請參閱[Amazon ECR 中的私有儲存庫政策](repository-policies.md)。
**映像**
您可以推送與提取容器映像至您的儲存庫。您可在開發系統上以本機使用這些映像,或者您也可以在 Amazon ECS 任務定義和 Amazon EKS Pod 規格。如需詳細資訊,請參閱[將 Amazon ECR 映像與 Amazon ECS 搭配使用](ECR_on_ECS.md)及[將 Amazon ECR 映像與 Amazon EKS 搭配使用](ECR_on_EKS.md)。
**生命週期政策**
Amazon ECR 生命週期政策可讓您透過定義刪除和過期舊或未使用的映像的規則來管理映像的生命週期。如需詳細資訊,請參閱[在 Amazon ECR 中使用生命週期政策來自動化映像的清除](LifecyclePolicies.md)。
**影像掃描**
Amazon ECR 提供整合式映像掃描功能,可協助識別容器映像中的軟體漏洞。如需詳細資訊,請參閱[掃描映像是否有 Amazon ECR 中的軟體漏洞](image-scanning.md)。
**存取控制**
Amazon ECR 使用 IAM 來控制對儲存庫的存取。您可以建立具有特定許可的 IAM 使用者、群組和角色,以推送、提取或管理 Amazon ECR 儲存庫。如需詳細資訊,請參閱[Amazon Elastic Container Registry 的安全性](security.md)。
**跨帳戶和跨區域複寫**
Amazon ECR 支援跨多個 AWS 帳戶和區域複寫映像,以提高可用性並減少延遲。如需詳細資訊,請參閱[Amazon ECR 中的私有映像複寫](replication.md)。
**加密**
Amazon ECR 支援使用 對靜態 Docker 映像進行伺服器端加密 AWS KMS。如需詳細資訊,請參閱[Amazon ECR 中的資料保護](data-protection.md)。
**AWS Command Line Interface 整合**
AWS CLI 提供命令來與 Amazon ECR 儲存庫互動,例如建立、列出、推送和提取映像。
**AWS 管理主控台**
Amazon ECR 也可以透過 進行管理 AWS 管理主控台,提供易於使用的 Web 界面,以使用儲存庫和映像。
**AWS CloudTrail**
Amazon ECR 與 整合 AWS CloudTrail,可讓您記錄和稽核對 Amazon ECR 發出的 API 呼叫,以用於安全和合規目的。如需詳細資訊,請參閱[使用 記錄 Amazon ECR 動作 AWS CloudTrail](logging-using-cloudtrail.md)。
**Amazon CloudWatch**
Amazon ECR 提供可使用 監控的指標和日誌 Amazon CloudWatch,可讓您追蹤 Amazon ECR 儲存庫的效能和用量。如需詳細資訊,請參閱[Amazon ECR 儲存庫指標](ecr-repository-metrics.md)。
**受管簽署**
受管簽署會在將映像推送至 Amazon ECR 時自動產生密碼編譯簽章,簡化容器映像簽署。如需詳細資訊,請參閱[受管簽署](managed-signing.md)。
# Amazon ECR 中的常見使用案例
Amazon ECR 是由 提供的全受管 Docker 容器登錄服務 AWS。它提供安全且可擴展的儲存庫,用於存放和分發 Docker 容器映像,使其成為容器化應用程式部署中的重要元件。Amazon ECR 可簡化在各種 AWS 服務和內部部署環境中建置、分發和執行容器化應用程式的程序。
以下是 Amazon ECR 的一些主要使用案例:
**容器映像儲存和分發**
Amazon ECR 做為集中式儲存庫,用於在組織內存放和分發 Docker 容器映像,或供大眾使用。開發人員可以將容器映像推送到 Amazon ECR,然後從 Amazon EC2 AWS Fargate或 Amazon EKS AWS等內部的任何運算環境中提取它們。如需詳細資訊,請參閱[Amazon ECR 私有儲存庫](Repositories.md)。
**持續整合和持續部署 (CI/CD)**
Amazon ECR 與 AWS CodeBuild AWS CodePipeline、 和其他 CI/CD 工具無縫整合,實現容器化應用程式的自動化建置、測試和部署。容器映像可以作為 CI/CD 管道的一部分自動推送到 Amazon ECR,確保在不同環境中進行一致且可靠的部署。
**微服務架構**
Amazon ECR 非常適合微服務架構,其中應用程式分為封裝為容器的小型解耦服務。每個微服務都可以在 Amazon ECR 中存放自己的容器映像,以便獨立開發、部署和擴展個別服務。
**混合和多雲端部署**
Amazon ECR 支援從其他容器登錄檔提取容器映像,例如 Docker Hub 或第三方登錄檔。這可讓組織使用 Amazon ECR 作為容器映像的中央儲存庫,在混合或多雲端環境中維持一致的部署模型。
**存取控制和安全性**
Amazon ECR 提供精細存取控制機制,可讓組織控制誰可以從登錄檔推送或提取容器映像。它也會與 整合 AWS Identity and Access Management 以進行身分驗證和授權,以確保安全存取容器映像。如需詳細資訊,請參閱[Amazon Elastic Container Registry 的安全性](security.md)。
**映像漏洞掃描**
Amazon ECR 提供自動掃描容器映像是否有軟體漏洞和潛在的錯誤組態,協助維護安全且合規的容器環境。如需詳細資訊,請參閱[掃描映像是否有 Amazon ECR 中的軟體漏洞](image-scanning.md)。
**私有容器登錄檔**
對於具有嚴格安全或合規要求的組織,Amazon ECR 可以用作私有容器登錄檔,確保敏感容器映像不會公開到公有登錄檔,並且只能在組織 AWS 環境中存取。如需詳細資訊,請參閱[Amazon ECR 私有登錄檔](Registries.md)。
**使用 Amazon ECR 複寫進行全域分散式應用程式部署**
利用 Amazon ECR 複寫功能,您可以將容器化 Web 應用程式映像集中在主要儲存庫中,實現跨多個 AWS 區域的自動化分佈,確保全球部署一致且低延遲,並減少營運負擔。如需詳細資訊,請參閱[Amazon ECR 中的私有映像複寫](replication.md)
**自動清除過時的容器映像**
Amazon ECR 生命週期政策可根據定義規則自動清除過時的容器映像,例如存留期、計數或標籤、最佳化儲存成本、維護有組織的登錄檔、增強安全性和合規性,以及透過自動化簡化開發工作流程。如需詳細資訊,請參閱[在 Amazon ECR 中使用生命週期政策來自動化映像的清除](LifecyclePolicies.md)
## Amazon ECR 的功能
Amazon ECR 提供以下功能:
+ 生命週期政策有助於管理儲存庫中映像的生命週期。您定義會導致清理未使用映像的規則。您可以在將規則套用至儲存庫前先進行測試。如需詳細資訊,請參閱[在 Amazon ECR 中使用生命週期政策來自動化映像的清除](LifecyclePolicies.md)。
+ 映像掃描有助於識別容器映像中的軟體漏洞。每個儲存庫都可以設定為**在推送時掃描**。這可確保會對每個推送到儲存庫的新映像進行掃描。之後,您可以擷取映像掃描的結果。如需詳細資訊,請參閱[掃描映像是否有 Amazon ECR 中的軟體漏洞](image-scanning.md)。
+ 跨區域和跨帳戶複寫可讓您更輕鬆地將映像放置在所需的地方。這會設定為登錄設定,並且以每一區域為基礎。如需詳細資訊,請參閱[Amazon ECR 中的私有登錄檔設定](registry-settings.md)。
+ 提取快取規則提供了一個方式,可在私有 Amazon ECR 登錄檔中快取上游登錄檔中的儲存庫。使用提取快取規則,Amazon ECR 將定期聯繫上游登錄檔,以確保 Amazon ECR 私有登錄檔中的快取映像是最新的。如需詳細資訊,請參閱[將上游登錄檔與 Amazon ECR 私有登錄檔同步](pull-through-cache.md)。
+ 儲存庫建立範本可讓您在提取快取、推送時建立或複寫動作期間,定義 Amazon ECR 代表您建立的儲存庫設定。您可以為自動建立的儲存庫指定標籤不可變性、加密組態、儲存庫政策、生命週期政策和資源標籤。如需詳細資訊,請參閱[用於控制提取快取、推送時建立或複寫動作期間建立的儲存庫的範本](repository-creation-templates.md)。
+ 受管簽署會在將映像推送至 Amazon ECR 時自動產生密碼編譯簽章,簡化容器映像簽署。如需詳細資訊,請參閱[受管簽署](managed-signing.md)。
## 如何開始使用 Amazon ECR
如果您使用的是 Amazon Elastic Container Service (Amazon ECS) 或 Amazon Elastic Kubernetes Service (Amazon EKS),請注意,這兩個服務的設定類似於 Amazon ECR 的設定,因為 Amazon ECR 是這兩個服務的延伸。
AWS Command Line Interface 搭配 Amazon ECR 使用 時,請使用 AWS CLI 支援最新 Amazon ECR 功能的 版本。如果您在 中沒有看到 Amazon ECR 功能的支援 AWS CLI,請升級到最新版本的 AWS CLI。如需有關安裝最新版本 的資訊 AWS CLI,請參閱*AWS Command Line Interface 《 使用者指南*》中的[安裝或更新至最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
若要了解如何使用 和 Docker 將 AWS CLI 容器映像推送至私有 Amazon ECR 儲存庫,請參閱 [在 Amazon ECR 中移動映像的生命週期](getting-started-cli.md)。
## Amazon ECR 定價
使用 Amazon ECR,您需要支付存放在儲存庫中的資料量、從您的影像推送和提取的資料傳輸,以及您選擇加入的影像動作,例如影像簽署和複寫。如需詳細資訊,請參閱 [Amazon ECR 定價](https://aws.amazon.com/ecr/pricing/)。