Domande generali

D: Cos'è Amazon Elastic Container Registry (Amazon ECR)?
Amazon ECR è un registro di container completamente gestito che consente agli sviluppatori di condividere e implementare facilmente immagini e artefatti di container. Amazon ECR è integrato con Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service (Amazon EKS) e AWS Lambda, per semplificare lo sviluppo durante il flusso di lavoro di produzione. Amazon ECR elimina la necessità di utilizzare repository di container propri o di preoccuparsi per dimensionare l'infrastruttura in uso. Mantenendo le immagini in hosting in Amazon ECR all'interno di un'architettura altamente disponibile e scalabile, potrai implementare in modo affidabile i container per le tue applicazioni. L'integrazione con AWS Identity and Access Management (IAM) permette il controllo a livello di risorsa di ogni repository che permette la condivisione di immagini nell'organizzazione o con chiunque in tutto il mondo.
 
D: Qual è il vantaggio di utilizzare Amazon ECR?
Amazon ECR elimina la necessità di gestire e ridimensionare l'infrastruttura necessaria per il registro del container. Amazon ECR usa l'archiviazione di Amazon Simple Storage Service (S3) per rendere altamente disponibili e accessibili le immagini di container, consentendo di implementare in modo sicuro nuovi contenitori per le applicazioni. Amazon ECR trasferisce le immagini di container tramite HTTPS e crittografa automaticamente le immagini inattive. È così possibile configurare policy di gestione delle autorizzazioni per ciascun repository e limitare l'accesso a utenti e ruoli IAM e altri account AWS. Amazon ECR integra Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda e l'interfaccia a riga di comando Docker, semplificando i flussi di lavoro di sviluppo e di produzione. Potrai quindi trasferire le immagini dei container in Amazon ECR tramite l'interfaccia a riga di comando Docker da un computer di sviluppo, e gli strumenti di orchestrazione di Amazon potranno caricarle direttamente per le distribuzioni in produzione.
 
D: Quanto costa Amazon ECR?
L'utilizzo di Amazon ECR non richiede alcun impegno a lungo termine né pagamenti anticipati. I costi sono calcolati in base al volume di dati archiviato nei repository pubblici e privati e al volume di dati trasferito tramite Internet. Per ulteriori informazioni, consulta la pagina dei Prezzi.
 
D: Amazon ECR è un servizio globale?
Amazon ECR è un servizio regionale creato per offrire flessibilità sull’implementazione delle immagini. Consente di inoltrare e caricare le immagini nella stessa regione AWS in cui è in esecuzione il cluster Docker per ottenere prestazioni ottimali. Per accedere ad Amazon ECR è sufficiente che nell'ambiente, sia esso desktop o on-premise, sia in esecuzione Docker. Caricare immagini da una regione all'altra o da Internet può determinare una maggiore latenza e prevede costi aggiuntivi per il trasferimento di dati.
 
D: Amazon ECR può ospitare immagini di container pubbliche?
Sì. Amazon ECR ha un registro di container ad alta disponibilità e un sito Web che semplifica la condivisione o la ricerca del software con container pubblico. Chiunque, con o senza un account AWS, può utilizzare la galleria pubblica di Amazon ECR per cercare e scaricare le immagini di container comunemente utilizzate, come i sistemi operativi, le immagini pubblicate da AWS e i file come le classifiche Helm per Kubernetes.
 
D: Qual è la differenza tra repository di Amazon ECR pubblici e privati?
Un repository privato non offre funzionalità di ricerca dei contenuti e richiede l'autenticazione basata su Amazon IAM utilizzando le credenziali dell'account AWS per permettere il caricamento delle immagini. Un repository pubblico, invece, ha dei contenuti descrittivi e permette a chiunque di caricare le immagini senza un account AWS e senza utilizzare le credenziali IAM. Le immagini del repository pubblico sono disponibili anche nella galleria pubblica di Amazon ECR.

D: Quali funzionalità di conformità è possibile abilitare in Amazon ECR?
In Amazon ECR è possibile utilizzare AWS CloudTrail per creare uno storico di tutte le azioni API, ad esempio chi ha caricato un'immagine e quando un tag è stato spostato da un'immagine all'altra. Gli amministratori possono anche individuare le istanze EC2 che hanno caricato delle immagini e quali immagini sono interessate.

Utilizzo di Amazon ECR

D: Come si inizia a usare Amazon ECR?
ll modo migliore per iniziare a usare Amazon ECR è inoltrare e caricare la prima immagine impiegando l'interfaccia a riga di comando di Docker. Visita la pagina sulle Nozioni di base per ulteriori informazioni.

D: È possibile accedere ad Amazon ECR da un cloud privato virtuale?
Sì. Puoi configurare endpoint di AWS PrivateLink per consentire alle tue istanze di caricare immagini dai repository privati senza la necessità di dover passare attraverso la rete Internet pubblica.

D: Qual è il modo migliore per gestire repository e immagini?
Amazon ECR offre un'interfaccia a riga di comando e API che consentono di creare, monitorare ed eliminare repository e set di autorizzazioni di repository. Le stesse azioni possono essere eseguite dalla console di Amazon ECR, a cui si accede nella sezione "Repository" della console di Amazon ECR. Amazon ECR integra inoltre l'interfaccia a riga di comando di Docker, che consente di inoltrare, caricare e applicare tag alle immagini da un computer di sviluppo.

D: Come posso condividere pubblicamente un'immagine utilizzando Amazon ECR?
Puoi pubblicare un'immagine della galleria pubblica di Amazon ECR entrando nel tuo account AWS e caricando un repository pubblico che hai creato. Ti viene assegnato un alias univoco per account da utilizzare negli URL dell'immagine per identificare tutte le immagini pubbliche che pubblichi.
 
D: Posso utilizzare un alias personalizzato per le mie immagini pubbliche?
Sì. Puoi richiedere un alias personalizzato, ad esempio il nome della tua organizzazione o di un progetto, a meno che non sia un alias già riservato. I nomi che identificano i servizi AWS sono già riservati. Anche i nomi che identificano AWS Marketplace possono essere già riservati. Le richieste di alias personalizzati saranno revisionate e approvate in pochi giorni, a meno che non violino i criteri di utilizzo di AWS o altre policy di AWS.
 
D: In che modo posso caricare un'immagine pubblica da Amazon ECR?
È possibile caricarla tramite il comando familiare di caricamento docker con l'URL dell'immagine. Puoi cercare facilmente questo URL tramite le immagini utilizzando un alias per la pubblicazione, il nome dell'immagine o la descrizione dell'immagine nella galleria pubblica di Amazon ECR. Gli URL dell'immagine sono nel formato public.ecr.aws/<alias>/<image>:<tag>, ad esempio public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5
 
D: Amazon ECR replica le immagini su più regioni AWS?
Sì. Amazon ECR è stato creato per offrire flessibilità sul percorso di archiviazione delle immagini e sulla modalità di implementazione. Puoi creare delle pipeline di implementazione per creare immagini e caricarle in Amazon ECR in una regione, e Amazon ECR può replicarle automaticamente in altre regioni e in altri account per l’implementazione in cluster multi-regione.

D: È possibile usare Amazon ECR on-premise?
Sì. Per accedere ad Amazon ECR è sufficiente che nell'ambiente, sia esso desktop o locale, sia in esecuzione Docker.

D: La galleria pubblica di Amazon ECR fornisce immagini pubblicate da AWS?
Sì. Servizi come Amazon EKS, Amazon SageMaker e AWS Lambda pubblicano le loro immagini di container e i loro artefatti di uso pubblico ufficiali in Amazon ECR.  

D: Amazon ECR è compatibile con Amazon ECS?
Sì. Amazon ECR è integrato con Amazon ECS e consente di memorizzare, eseguire e gestire immagini di container per applicazioni in esecuzione in Amazon ECS. Specificando il repository di Amazon ECR nella definizione di attività, Amazon ECS recupererà le immagini appropriate per le applicazioni.

D: Amazon ECR è compatibile con AWS Elastic Beanstalk?
Sì. AWS Elastic Beanstalk al momento supporta Amazon ECR per ambienti Docker a container singolo e multi-container, perciò semplifica l'implementazione in AWS Elastic Beanstalk di immagini di container archiviate in Amazon ECR. È sufficiente specificare il repository Amazon ECR nel file di configurazione Dockerrun.aws.json e allegare la policy AmazonEC2ContainerRegistryReadOnly al ruolo dell'istanza del contenitore.

D: Quale versione di Docker Engine supporta Amazon ECR?
Amazon ECR attualmente supporta Docker Engine 1.7.0 e versioni successive.

D: Quale versione dell'API di Docker Engine supporta Amazon ECR?
Amazon ECR supporta la specifica dell'API Docker Registry V2.

D: Amazon ECR crea automaticamente immagini da un Dockerfile?
Amazon ECR integra tuttavia un'ampia gamma di soluzioni CI/CD comuni compatibili con questa funzionalità. Consulta la Pagina dei partner di Amazon ECR per ulteriori informazioni.

D: Amazon ECR supporta l'accesso federato?
Sì. Amazon ECR si integra con AWS Identity and Access Management (IAM), che supporta la federazione delle identità per l'accesso delegato alla Console di gestione AWS o alle API di AWS.

D: Quale versione della specifica di Docker Image Manifest supporta Amazon ECR?
Amazon ECR supporta Docker Image Manifest V2, formato Schema 2. Per mantenere la compatibilità con le versioni precedenti delle immagini Schema 1, Amazon ECR continuerà ad accettare immagini caricate nel formato Schema 1. Inoltre Amazon ECR è in grado di effettuare la conversione di un'immagine da Schema 2 a Schema 1 in caso di estrazione con una versione precedente di Docker Engine (versione 1.9 e inferiore).

D: Amazon ECR supporta il formato OCI (Open Container Initiative)?
Sì. Amazon ECR è compatibile con la specifica di immagine OCI (Open Container Initiative) e perciò consente il caricamento e l'estrazione di immagini e artefatti. Amazon ECR è in grado di effettuare la conversione di immagini fra Docker Image Manifest V2, formato Schema 2 e immagini OCI in estrazione.

Sicurezza

D: In che modo Amazon ECR garantisce la sicurezza delle immagini dei container?
Amazon ECR procede automaticamente alla crittografia delle immagini inattive tramite la crittografia lato server di Amazon S3 o la crittografia AWS KMS e trasferisce le immagini dei container utilizzando il protocollo HTTPS. È quindi possibile configurare policy che gestiscano le autorizzazioni e controllino gli accessi alle immagini tramite utenti e ruoli di AWS Identity and Access Management (IAM), senza dover gestire le credenziali direttamente nelle istanze EC2.

D: Come si usa AWS Identity and Access Management (IAM) per le autorizzazioni?
Puoi usare le policy basate su risorse di IAM per controllare e monitorare chi e cosa (ad esempio le istanze EC2) può accedere alle immagini di container e come, quando e da dove vi accedono. Per iniziare, usa la console di gestione AWS per creare policy basate su risorse per i repository. In alternativa, è possibile usare policy di esempio e collegarle ai repository tramite l'interfaccia a riga di comando di Amazon ECR.

D: È possibile condividere le immagini tra più account AWS?
Sì. Questo è un esempio di come creare e configurare una policy per la condivisione di un'immagine su più account.

D: Amazon ECR scansiona le immagini dei container per rilevare le vulnerabilità?
Puoi abilitare Amazon ECR per scansionare automaticamente le immagini dei container per rilevare un'ampia gamma di vulnerabilità dei sistemi operativi. Puoi inoltre scansionare immagini tramite un comando API e Amazon ECR ti invierà una notifica sull'API e nella console al completamento di una scansione. Per una scansione delle immagini ancora più avanzata, puoi attivare Amazon Inspector.

Ulteriori informazioni sui prezzi di Amazon ECR

Visita la pagina dei prezzi
Tutto pronto per cominciare?
Nozioni di base su Amazon ECR
Hai altre domande?
Contattaci