Docker 注册中心是 Docker 和容器生态系统的一个重要组成部分，它提供了一个通用的机制来公开和私下发布和分发您的容器应用。 ECR 提供了一个完全管理的私有 Docker 注册中心，其特点是与前一章中介绍的 ECS 组件和其他 AWS 服务紧密集成。ECR 是高度可扩展的、安全的，并且提供了与用于构建和发布 Docker 映像的本机 Docker 客户端集成的工具。

在本章中，您将学习如何使用各种机制，包括 AWS 控制台、AWS 命令行界面和云信息，创建 ECR 存储库来存储您的 Docker 映像。一旦您建立了第一个 ECR 存储库，您将学习如何使用 ECR 进行认证，提取存储在存储库中的 Docker 映像，并使用 Docker 客户端构建和发布 Docker 映像到 ECR。为了结束本章，您将学习如何处理使用和管理 ECR 的更高级场景，包括配置跨帐户访问以允许在其他 AWS 帐户中运行的 Docker 客户端访问您的 ECR 存储库，以及配置生命周期策略，以确保孤立的 Docker 映像得到定期清理，从而减少管理工作和成本。

将涵盖以下主题:

下面列出了完成本章的技术要求:

此 GitHub URL 包含本章使用的代码示例:https://GitHub . com/docker-in-AWS/docker-in-AWS/tree/master/ch5。

查看以下视频，了解《行动守则》: http://bit.ly/2PKMLSP

在我们开始创建和配置 ECR 存储库之前，简要介绍 ECR 的核心概念非常重要。 ECR 是由 AWS 提供的完全管理的私有 Docker 注册中心，提供与 ECS 和其他 AWS 服务的紧密集成。ECR 由许多组件组成，如下图所示:

ECR architecture

电子逆向拍卖的核心组成部分包括:

考虑 ECR 的消费者也很重要。如上图所示，这些包括:

现在您已经对 ECR 有了一个基本的概述，让我们开始创建您的第一个 ECR 存储库。回想一下在前面的章节中，您被介绍到了本书的示例到应用，并且您在您的本地环境中构建了一个 Docker 映像。为了能够基于此映像在您的 ECS 集群上运行容器，您需要将此映像发布到您的 ECS 容器实例可以访问的 Docker 注册表中，ECR 是这方面的完美解决方案。

要为到应用创建 ECR 存储库，我们将重点关注创建和配置存储库的三种流行方法:

通过执行以下步骤，可以使用 AWS 控制台创建 ECR 存储库:

Configuring a Repository name

通过运行aws ecr create-repository命令，可以使用 AWS 命令行界面创建 ECR 存储库，但是，假设您已经通过 AWS 控制台创建了存储库，让我们看看如何检查 ECR 存储库是否已经存在，以及如何使用 AWS 命令行界面删除存储库。

要查看您的 AWS 帐户和本地区域中的 ECR 存储库列表，您可以使用aws ecr list-repositories命令，而要删除 ECR 存储库，您可以使用aws ecr delete-repository命令，如下所示:

Describing and deleting an ECR Repository using the AWS CLI

现在，您已经删除了之前使用 AWS 控制台创建的存储库，您可以重新创建它，如下所示:

Creating an ECR Repository using the AWS CLI

AWS CloudFormation 支持通过AWS::ECR::Repository资源类型创建 ECR 存储库，在编写本文时，这允许您管理 ECR 资源策略和生命周期策略，我们将在本章稍后介绍。

作为一般的经验法则，鉴于 ECR 存储库作为 Docker 映像分发机制的关键性质，我通常建议您的帐户和区域的各种 ECR 存储库定义在一个单独的共享 CloudFormation 栈中，该栈专门用于 ECR 存储库的创建和管理。

根据这一建议，在以后的章节中，让我们创建一个名为 todobackend-aws 的存储库，您可以使用它来存储您将在本书中创建和管理的各种基础架构配置。我将让您在 GitHub 上创建相应的存储库，之后您可以将 GitHub 存储库配置为远程存储库:

您现在可以配置一个名为ecr.yml的云信息模板文件，该文件为todobackend Docker 映像定义了一个 ECR 存储库:

Defining an ECR Repository using the AWS CloudFormation

正如您在前面的示例中看到的，使用 CloudFormation 定义 ECR 存储库非常简单，只需要定义RepositoryName属性，正如您可能期望的那样，该属性定义了存储库的名称。

假设您已经删除了当前的 todobackend ECR 存储库，如前所述，您现在可以使用aws cloudformation deploy命令使用 CloudFormation 创建 todo back and 存储库:

Creating an ECR Repository using the AWS CloudFormation

栈部署成功后，您可以在云信息控制台中查看栈，如下图所示:

ECR Repository CloudFormation stack

如果您现在导航回 ECS 控制台，并从左侧菜单中选择资源，您应该会看到一个名为docker-in-aws/todobackend的 ECR 存储库，如您的云信息栈中所定义的。如果您单击存储库，您将进入存储库详细信息页面，该页面为您提供存储库 URI、存储库中发布的映像列表、ECR 权限和生命周期策略设置。

一旦您为 Docker 映像创建了存储库，下一步就是构建您的映像并将其发布到 ECR。在您可以这样做之前，您必须向 ECR 进行认证，因为在撰写本文时，ECR 是不支持公共访问的私有服务。

登录 ECR 的说明和命令显示为 ECR 存储库向导的一部分，但是您可以通过选择适当的存储库并单击查看推送命令按钮随时查看这些说明，该按钮将显示登录、构建和向存储库发布 Docker 映像所需的各种命令。

显示的第一个命令是aws ecr get-login命令，该命令将生成一个docker login表达式，该表达式包含对登录 for 12 小时有效的临时认证令牌(注意，为了节省空间，命令输出已被截断):

Generating login commands for ECR Docker 版本 17.06 及更高版本需要--no-include-email标志，因为-e Docker CLI 电子邮件标志在此版本中已被弃用。

虽然您可以复制并粘贴前面示例中生成的命令输出，但更快的方法是通过将命令用$(...)括起来，使用 bash 命令替换来自动执行aws ecr get-login命令的输出:

Logging into ECR

在前面的章节中，您学习了如何在本地构建和标记 Docker 映像，并以 todobackend 示例应用为例。

现在，您可以扩展此工作流，将 Docker 映像发布到 ECR，这需要您执行以下任务:

您已经看到了如何登录 ECR，构建和标记 Docker 映像与本地用例非常相似，只是在标记映像时需要指定 ECR 存储库的 URI。

以下示例演示如何构建todobackend映像，用新 ECR 存储库的 URI 标记映像(用于存储库的实际 URI)，并使用docker images命令验证映像名称:

Tagging an Image for ECR

一旦你建立并标记了你的映像，你就可以把你的映像推送到 ECR。 Note that to publish an image to ECR, you require various ECR permissions. Because you are using the admin role in your account, you automatically have all the required permissions. We will discuss ECR permissions in more detail later on in this chapter.

因为您已经登录了 ECR，所以这就像使用docker push命令并引用 Docker 映像的名称一样简单:

Pushing an image to ECR

如果您现在导航到 ECS 控制台中的 todobackend 存储库，您应该会看到您新发布的映像出现了默认的latest标签，如下图所示。请注意，当您将映像的构建大小(在我的示例中为 99 MB)与存储在 ECR 中的映像大小(在我的示例中为 34 MB)进行比较时，您可以看到 ECR 以压缩格式存储映像，这降低了存储成本。 In terms of charges for using ECR, AWS charges for both data storage and data transfer out (that is, pulling a Docker image). See https://aws.amazon.com/ecr/pricing/ for more details.

Viewing ECR images

在前面的章节中，您学习了如何使用 Docker Compose 来帮助简化测试和构建 Docker 映像所需的 CLI 命令数量。目前，Docker Compose 只是在本地构建 Docker 映像，但是当然，您现在希望能够发布您的 Docker 映像并利用您的 Docker Compose 工作流。 Docker Compose 包含一个名为image的服务配置属性，它通常用于指定您想要运行的容器的映像:

Example Docker Compose file

虽然这是 Docker Compose 非常常见的使用模式，但是如果您同时组合了build和image属性，就存在另一种配置和一组行为，如下所示，对于 todobackend 存储库中的docker-compose.yml文件:

Todobackend Docker Compose file

在前面的示例中，image和build属性都是为release和app服务指定的。当这两个属性一起使用时，Docker 仍然会从引用的 Dockerfile 构建映像，但是会用为image属性指定的值来标记映像。 You can apply multiple tags by creating new services that simply extend your release image and define a image property that includes the additional tag.

请注意，对于app服务，我们引用了环境变量APP_VERSION，该变量旨在用当前应用版本来标记映像，该版本是在 todobackend 存储库的根目录下的 Makefile 中定义的:

Replace the repository URI in the preceding examples with the appropriate URI generated for your own AWS account.

要演示组合image和build属性时的标记行为，首先删除您在本章前面创建的 Docker 映像，如下所示:

Deleting a Docker image

如果您现在运行docker-compose build release命令，一旦该命令完成，Docker Compose 将构建一个新的映像，该映像标记有您的 ECR 存储库 URI:

Building a tagged image using Docker Compose

正确构建和标记映像后，您现在可以执行docker-compose push命令，该命令可用于推送 Docker Compose 文件中定义的服务，该文件包含build和image属性:

Publishing images using Docker Compose

在前面的示例中，与名为release的服务相关联的映像被推送，假设这是您使用 Docker 映像 URI 配置的服务。

在前面的章节中，您学习了如何使用 Docker、Docker Compose 和 Make 的组合来自动测试和构建 todobackend 应用的 Docker 映像。

现在，您可以增强此工作流以执行以下附加操作:

为了实现这一点，您将在 todobackend 存储库的 Makefile 中创建新任务。

下面的示例演示了添加几个名为login和logout的新任务，它们将使用 Docker 客户端执行这些操作:

Logging in and logging out of ECR

注意login任务使用双美元符号($$)，这是 Make 使用单美元符号定义 Make 变量所必需的。当您指定双美元符号时，Make 会将单美元符号传递给 shell，在这种情况下，这将确保 bash 命令替换得以执行。

当使用logout任务注销时，请注意您需要指定 Docker 注册表，否则 Docker 客户端将采用默认的公共 Docker Hub 注册表。

有了这些任务，您现在可以使用make logout和make login命令轻松注销和登录 ECR:

Running make logout and make login

要自动化发布工作流，您可以向 Makefile 添加一个名为publish的新任务，它只需为标记的release和app服务调用docker-compose push命令:

Automating publishing to ECR

有了这个配置，您的 Docker 映像现在将被标记提交散列和最新标记，然后您可以通过简单地运行make publish命令将其发布到 ECR。

现在让我们提交您的更改，并运行完整的 Make 工作流来测试、构建和发布您的 Docker 映像，如下例所示。请注意，标记有97e4abf提交散列的映像被发布到 ECR:

Running the updated Make workflow

现在，您已经学习了如何将 Docker 映像发布到 ECR，让我们关注在各种场景下运行的 Docker 客户端如何从 ECR 中提取您的 Docker 映像。回想一下本章开头对 ECR 的介绍，客户端访问 ECR 存在多种场景，现在我们将在 ECS 容器实例作为您的 Docker 客户端的上下文中重点介绍这些场景:

当您的 ECS 容器实例在与 ECR 存储库相同的帐户中运行时，建议启用在 ECS 容器实例内部运行的 ECS 代理从 ECR 中提取 Docker 映像的方法是使用与应用于作为 ECS 容器实例运行的 EC2 实例的 IAM 实例角色相关联的 IAM 策略。您已经在上一章中看到了这种方法，其中 AWS 提供的 ECS 集群向导将一个名为AmazonEC2ContainerServiceforEC2Role的托管策略附加到集群中 ECS 容器实例的 IAM 实例角色，并注意到该策略中包含以下 ECR 权限:

AmazonEC2ContainerServiceforEC2Role policy

在前面的示例中，您可以看到授予了四个 ECR 权限，这四个权限共同允许 ECS 代理登录 ECR 并拉取 Docker 映像:

这些权限足以登录 ECR 并拉取映像，但请注意，前面示例中的Resource属性允许访问您帐户中的所有存储库。

根据组织的安全要求，对所有存储库的这种广泛访问可能是可接受的，也可能是不可接受的-如果不是，那么您需要创建自定义 IAM 策略来限制对特定存储库的访问，如下所示:

Granting ECR login and pull permissions to specific repositories

在前面的示例中，请注意ecr:GetAuthorizationToken权限的范围仍然是所有资源，因为您没有登录到特定的 ECR 存储库，而是登录到给定区域中您的帐户的 ECR 注册表。然而，提取 Docker 映像所需的其他权限可以应用于单个存储库，您可以看到这些权限只允许用于您的 ECR 存储库的 ARN。

请注意，如果您还想在前面的示例中授予对 ECR 存储库的推送访问权限，则需要额外的 ECR 权限:

Granting ECR push permissions to specific repositories

在较大的组织中，资源和用户被拆分到多个帐户是非常常见的，一种常见的模式是拥有一个中央构建帐户，应用工件(如 Docker 映像)集中存储在该帐户中。

下图说明了这种情况，其中您可能有几个运行 ECS 容器实例的帐户需要提取存储在中央存储库中的 Docker 映像:

Multiple accounts requiring access to central ECR repositories

当您需要授予其他帐户访问您的 ECR 存储库的权限时，需要执行两项配置任务:

您可以通过 ECS 控制台配置 ECR 资源策略，方法是打开相应的 ECR 存储库，选择权限选项卡，然后单击添加添加一组新的权限:

Configuring ECR resource policies

在上图中，请注意，您可以通过主体设置将 AWS 帐户标识配置为主体，然后通过选择仅拉操作选项轻松允许拉访问。通过这种配置，您可能允许与远程帐户相关联的任何实体从该存储库中提取 Docker 映像。

Configuring ECR resource policies

请注意，如果您试图保存上图和上图中显示的配置，您将收到一个错误，因为我使用了无效的帐户。假设您确实使用了有效的帐户标识并保存了策略，将为配置生成以下策略文档:

Example ECR repository policy document

您可以使用aws ecr set-repository-policy命令通过 AWS 命令行界面配置 ECR 资源策略，如下所示:

Configuring ECR resource Policies via the AWS CLI

如上例所示，您必须使用--repository-name标志指定存储库名称，并使用--policy-text标志将存储库策略配置为 JSON 格式的文档。

当使用 AWS CloudFormation 定义您的 ECR 存储库时，您可以配置您在前面的示例中创建的AWS::ECR::Repository资源的RepositoryPolicyText属性来定义 ECR 资源策略:

Configuring ECR resource policies using AWS CloudFormation

前面示例中的策略文本以 YAML 格式表达了您在前面示例中配置的 JSON 策略，您可以通过运行aws cloudformation deploy命令将更改部署到您的栈中。

通过控制台、命令行界面或云信息配置好 ECR 资源策略后，您可以继续在 ECR 资源策略中指定的远程帐户中创建 IAM 策略。这些策略的配置方式与您在帐户中配置本地访问 IAM 策略的方式完全相同，如果需要，您可以参考远程 ECR 存储库的 ARN，如果您只希望授予对此存储库的访问权限。

我们将讨论的最后一个场景是 AWS 服务访问您的 ECR 映像的能力。这方面的一个例子是 AWS CodeBuild 服务，它使用基于容器的构建代理执行自动化的连续集成任务。CodeBuild 允许您定义自己的自定义构建代理，通常的做法是在 ECR 中发布这些构建代理的映像。这意味着 AWS CodeBuild 服务现在需要访问 ECR，您可以使用 ECR 资源策略来实现这一点。

以下示例扩展了前面的示例，将 AWS 代码构建服务添加到资源策略中:

Configuring AWS service access to ECR repositories

在前面的示例中，请注意，您可以使用Principal属性中的Service属性来标识该策略语句将应用到的 AWS 服务。在后面的章节中，当您创建自己的发布到 ECR 的自定义代码构建映像时，您将看到一个这样的例子。

如果您已经完成了本章的学习，那么您将已经多次将 todobackend 映像发布到您的 ECR 存储库中，并且很有可能已经在您的 ECR 存储库中创建了所谓的孤立映像。在前面的章节中，我们讨论了正在本地 Docker Engine 中创建的孤立映像，并将这些映像定义为其标签已被较新的映像取代的映像，从而有效地将较旧的映像保留为未命名的映像，因此是“孤立的”

如果您浏览到您的 ECR 存储库并选择 ECS 控制台中的“映像”选项卡，您可能会注意到有一些映像不再有标签，这是因为您推送了几个带有latest标签的映像，这些映像已经取代了现在孤立的映像:

Orphaned ECR images

在上图中，请注意，您在 ECR 中的存储使用量现在增加了两倍，即使您只有一个当前的latest映像，这意味着您可能还需要支付三倍的存储成本。当然，您可以自己手动删除这些映像，但是这很容易出错，并且往往会成为一项被遗忘和忽视的任务。

值得庆幸的是，ECR 支持一个名为生命周期策略的功能，它允许您定义一组包含在策略中的规则，用于管理 Docker 映像的生命周期。生命周期策略的一个标准用例是定期删除孤立映像，您应该始终将其应用于您创建的每个存储库，所以现在让我们看看如何创建和应用这样的策略。

配置生命周期策略时，由于这些策略实际上可能会删除您的 Docker 映像，因此最好始终使用 AWS 控制台对策略进行初始测试，因为 ECS 控制台包含一项功能，允许您模拟如果应用生命周期策略会发生什么。

要使用 AWS 控制台配置生命周期策略，请在 ECR 存储库中选择生命周期规则的模拟运行选项卡，然后单击添加按钮创建新的模拟运行规则。这允许您测试生命周期策略规则，而无需实际删除 ECR 存储库中的任何映像。一旦您确信您的规则运行安全且符合预期，您就可以将它们转换为将应用于您的存储库的实际生命周期策略:

ECR dry run rules

现在，您可以在添加规则屏幕中使用以下参数定义规则:

点击保存按钮后，新规则将被添加到生命周期规则的模拟运行标签中。如果您现在单击保存并执行试运行按钮，将显示符合您的规则标准的任何映像，其中应包括之前显示的孤立映像。

现在，根据您是否有未标记的映像，以及它们与上次推送至存储库的映像相比有多旧，您可能会看到也可能不会看到与您的试运行规则相匹配的映像。不管实际结果如何，这里的关键是确保匹配的映像都是您所期望的，并且您对试运行规则不会意外删除期望发布和可用的有效映像感到满意。

如果您对试运行规则满意，您可以接下来单击应用为生命周期策略按钮，该按钮将首先显示确认新规则的对话框，一旦应用，如果您导航到生命周期策略选项卡，您应该会看到您的生命周期策略:

ECR lifecycle policies

要确认您的生命周期策略正在运行，您可以单击任何策略规则，并从操作下拉列表中选择查看历史记录，该下拉列表将显示 ECR 已执行的与策略规则相关的任何操作。

AWS 命令行界面支持类似于通过 AWS 控制台配置 ECR 生命周期策略的工作流，如下所述:

当使用命令行界面时，您需要以 JSON 格式指定生命周期策略，您可以通过单击前面屏幕截图中的查看 JSON 操作来查看一个示例。

当使用 AWS 云信息来定义您的 ECR 存储库时，您可以配置您之前创建的AWS::ECR::Repository资源的LifecyclePolicy属性来定义 ECR 生命周期策略:

Configuring ECR lifecycle policies using AWS CloudFormation

前面示例中的策略文本将您在前面示例中配置的 JSON 策略表示为 JSON 字符串-注意管道(| ) YAML 运算符的使用，它允许您输入多行文本以提高可读性。

有了这个配置，您可以通过运行aws cloudformation deploy命令将更改应用到您的栈。

在本章中，您学习了如何创建和管理 ECR 存储库，您可以使用这些存储库来安全地、机密地存储您的 Docker 映像。在创建了第一个 ECR 存储库之后，您学习了如何使用 AWS CLI 和 Docker 客户端向 ECR 进行认证，然后成功地将您的 Docker 映像标记并发布到 ECR。

发布 Docker 映像后，您了解了 Docker 客户端可能需要访问您的存储库的各种场景，其中包括从与您的 ECR 存储库相同的帐户访问 ECS 容器实例，从与您的 ECR 存储库不同的帐户访问 ECS 容器实例(即跨帐户访问)，最后授予对诸如 CodeBuild 之类的 AWS 服务的访问权限。您创建了 ECR 资源策略，这在配置跨帐户访问和授予对 AWS 服务的访问权限时是必需的，并且您了解到，尽管在将远程帐户定义为受信任的中央帐户中创建了 ECR 资源策略，但您仍然需要在每个远程帐户中创建 IAM 策略，明确授予对您的中央帐户存储库的访问权限。

最后，您创建了 ECR 生命周期策略规则，允许您自动定期删除未标记(孤立)的 Docker 映像，这有助于降低您的存储成本。在下一章中，您将学习如何使用一个流行的开源工具 Packer 来构建和发布您自己的定制 ECS 容器实例 Amazon Machine Images (AMIs)。

有关本章所涵盖主题的更多信息，您可以查看以下链接: