【AWS】什么是Amazon ECR (Elastic Container Registry) 

Amazon ECR (Elastic Container Registry) 是一项安全、可扩展且可靠的完全托管式容器镜像注册服务。它允许您轻松地存储、管理和部署 Docker 容器镜像、Open Container Initiative (OCI) 镜像以及其他 OCI 兼容的构件。

您可以将 Amazon ECR 想象成一个**“云中的私人 Docker Hub”**。它提供了一个中央存储库，用于存放您的容器镜像，并与 AWS 的其他容器服务（如 Amazon ECS、Amazon EKS、AWS Fargate）无缝集成，从而简化了容器化应用程序的开发、部署和管理工作流。

Amazon ECR 的核心功能和优势

ECR 旨在为容器化工作负载提供一个安全、高性能且易于使用的镜像管理解决方案。

1. 完全托管服务：AWS 负责所有底层基础设施的托管、维护、备份和扩展。您无需预置和扩展硬件，也无需安装、配置和更新注册表软件。这大大减少了运营开销，让您能够专注于容器化应用程序的开发和部署。
2. 安全可靠：数据加密： ECR 存储库中的容器镜像在传输中（通过 HTTPS）和静态时都会自动加密。静态加密使用 AWS Key Management Service (AWS KMS) 进行。访问控制： 与 AWS Identity and Access Management (IAM) 集成，允许您对用户和角色进行精细的访问控制，精确控制谁可以推送、拉取或管理您的容器镜像。私有存储库： 每个 AWS 账户都拥有一个私有注册表，您可以在其中创建私有存储库，确保您的容器镜像不会公开暴露。镜像漏洞扫描： ECR 提供集成的镜像扫描功能（包括基本扫描和由 Amazon Inspector 提供支持的增强型扫描），帮助识别容器镜像中的软件漏洞，增强安全性。生命周期策略： 允许您定义规则来自动清理旧的或未使用的镜像，优化存储成本并维护有组织的注册表。
3. 高性能和高可用性：ECR 具有高度可扩展、冗余且耐用的架构。您的容器镜像高度可用且可访问，这使您能够可靠地部署新的容器化应用程序。通过利用 AWS 的全球基础设施，可以实现快速的镜像拉取和推送操作。
4. 简化容器工作流：Docker CLI 支持： 完全支持 Docker Registry HTTP API V2，这意味着您可以使用标准的 Docker CLI 命令（如 docker push、docker pull、docker build）或您偏好的 Docker 工具与 ECR 进行交互，从而维护现有开发工作流程。与 AWS 容器服务集成： 与 Amazon ECS、Amazon EKS、AWS Fargate 等 AWS 容器服务无缝集成。您只需在任务定义中指定 ECR 存储库，这些服务即可直接拉取所需的镜像。跨区域和跨账户复制： 支持将镜像复制到多个 AWS 账户和区域，以提高可用性、减少延迟并简化全球分布式应用程序的部署。拉取缓存规则： 允许在私有 ECR 注册表中缓存来自上游公共注册表（如 Docker Hub）的存储库，提高拉取速度和可靠性。
5. 成本效益：按使用量付费： 您只需为存储库中存储的数据量以及从镜像推送和拉取所传输的数据付费，没有最低费用或预先承诺。无需基础设施维护： 节省了购买、设置和管理容器注册表服务器的成本。

Amazon ECR 的工作原理

Amazon ECR 的核心是注册表 (Registry) 和存储库 (Repository)。

1. 注册表 (Registry)：每个 AWS 账户都获得一个私有注册表。这是您创建和管理所有容器存储库的顶级命名空间。您也可以使用 Amazon ECR Public 来存储和共享公共容器镜像。
2. 存储库 (Repository)：在注册表内，您可以创建多个存储库，每个存储库是一个逻辑集合，用于存储特定容器镜像（例如，一个应用程序的不同版本镜像）。
3. 认证 (Authentication)：您的 Docker 客户端或其他工具在能够推送和拉取镜像之前，需要通过 AWS IAM 凭证向 Amazon ECR 进行身份验证，以获取授权令牌。
4. 推送镜像 (Push Images)：开发人员在本地构建 Docker 镜像后，使用 Docker CLI 命令（例如 docker push）将镜像推送到 ECR 存储库。ECR 会安全地接收镜像，并将其加密存储。
5. 拉取镜像 (Pull Images)：当您需要在 EC2 实例、ECS 任务、EKS Pod 或 AWS Lambda 函数中运行容器时，相应的计算服务会使用 Docker CLI 命令（例如 docker pull）从 ECR 存储库中拉取所需的镜像。ECR 会验证请求者的权限，并安全地传输镜像。
6. 镜像生命周期管理：您可以为存储库配置生命周期策略，根据镜像的年龄、数量或标签等规则，自动清理不再需要的旧镜像，从而优化存储成本。
7. 镜像扫描：可以配置存储库在每次推送新镜像时自动进行漏洞扫描，或手动触发扫描，以识别潜在的安全问题。

Amazon ECR 的典型用例

• 容器镜像存储和分发： 作为组织内部或公共使用的 Docker 容器镜像的集中式存储库。
• 持续集成和持续部署 (CI/CD)： 与 AWS CodeBuild、AWS CodePipeline 等 CI/CD 工具无缝集成，实现容器化应用程序的自动化构建、测试和部署。容器镜像可以作为 CI/CD 管道的一部分自动推送到 ECR，确保在不同环境中部署一致且可靠。
• 微服务架构： 非常适合微服务架构，其中应用程序被分解为封装为容器的小型解耦服务。每个微服务都可以在 Amazon ECR 中存放自己的容器镜像，以实现各个服务的独立开发、部署和扩展。
• 混合云和多云部署： 支持从其他容器注册表（例如 Docker Hub 或第三方注册表）中提取容器镜像。这允许组织使用 Amazon ECR 作为容器镜像的中央存储库，在混合云或多云环境中保持一致的部署模式。
• 安全合规性： 对于具有严格安全或合规性要求的组织，Amazon ECR 可以用作私有容器注册表，确保敏感容器镜像不会公开到公共注册表，并且只能在组织 AWS 环境中访问。
• 全球分布式应用程序部署： 利用 Amazon ECR 复制功能，您可以将容器化 Web 应用程序镜像集中在主要存储库中，实现跨多个 AWS 区域的自动化分发，确保全球部署一致且低延迟。

总结来说，Amazon ECR 是一项安全、高度可扩展且完全托管的容器镜像注册服务，它消除了管理和扩展自己的容器注册表基础设施的复杂性，让开发团队能够更高效、更安全地存储、管理和部署容器化应用程序。

过去考试题

企業がDockerイメージを保存?管理するために使用できるAWSサービスはどれですか？

1. Amazon ECR
2. Amazon EC2 Container Registry
3. Amazon Elastic Beanstalk
4. Amazon RDS

Amazon ECR (Elastic Container Registry) は、AWS が提供するマネージド型の Docker イメージリポジトリサービスです。

Docker イメージをプライベートに保存?管理することができ、AWS のサービスと統合して利用できます。

B: Amazon EC2 Container Registry はAWSに存在しないサービスです。

C: Amazon Elastic Beanstalk は、Web アプリケーションをデプロイするためのサービスです。Docker イメージの保存?管理は主な機能ではありません。

D: Amazon RDS は、リレーショナルデータベースをクラウド上で実行するためのサービスです。Docker イメージの保存?管理とは関係ありません。