私有镜像复制 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

私有镜像复制

Amazon ECR 使用注册表设置配置注册表级别的私有镜像复制。Amazon ECR 私有注册表可配置为跨区域或跨账户复制。分别为每个区域的私有注册表配置复制。下面更详细地介绍了受支持的复制方法。

跨区域复制

为注册表启用跨区域复制可在一个或多个目标区域中创建存储库的副本。只有在配置跨区域复制后,推送到存储库的镜像才会被复制。

跨账户复制

为注册表启用跨账户复制将创建所指定目标账户和区域中存储库的副本。要进行跨帐户复制,目标账户必须配置注册表权限策略,以允许从注册表进行复制。有关更多信息,请参阅 私有注册表权限

私有镜像复制的注意事项

使用私有镜像复制时应注意以下事项。

  • 首次配置私有注册表以进行复制时,Amazon ECR 会代表您创建服务相关 IAM 角色。服务相关 IAM 角色授予 Amazon ECR 复制服务在注册表中创建存储库和复制镜像所需的权限。有关更多信息,请参阅对 Amazon ECR 使用服务相关角色

  • 要进行跨账户复制,私有注册表目标必须授予允许源注册表复制其镜像的权限。通过设置私有注册表权限策略来完成此授权。有关更多信息,请参阅 私有注册表权限

  • 如果更改私有注册表的权限策略以删除权限,则以前授予权限的任何进行中复制都可能完成。

  • 必须先为某个账户启用区域,然后才能在该区域内执行任何复制操作。有关更多信息,请参阅 Amazon Web Services 一般参考中的管理 Amazon 区域

  • 不支持在 Amazon 分区之间进行跨区域复制。例如,us-west-2 中的存储库无法复制到 cn-north-1。有关 Amazon 分区的更多信息,请参阅 Amazon 一般参考中的 ARN 格式

  • 私有注册表的复制配置最多可以包含 25 个跨所有规则的唯一目标,最多共有 10 个规则。每个规则最多可包含 100 个筛选条件。这允许为包含用于生产和测试的镜像的存储库指定单独的规则。

  • 复制配置支持通过指定存储库前缀来筛选私有注册表中复制的存储库。有关示例,请参阅 示例:使用存储库筛选条件配置跨区域复制

  • 每次镜像推送只会执行一次复制操作。例如,如果您配置了从 us-west-2us-east-1 以及从 us-east-1us-east-2 的跨区域复制,则推送到 us-west-2 的镜像仅复制到 us-east-1,它不会再复制到 us-east-2。此行为同时适用于跨区域和跨账户复制。

  • 大多数映像会在不到 30 分钟的时间内复制,但在极少数情况下,复制可能需要更长的时间。

  • 注册表复制不执行任何删除操作。复制镜像和存储库不再使用时,可以手动删除它们。

  • 存储库策略 (包括 IAM 策略) 和生命周期策略不会被复制,而且除了对为其定义的存储库之外,不会产生任何影响。

  • 不会复制存储库设置。预设情况下,在由于复制操作而创建的所有存储库上,标签不变性、镜像扫描和 KMS 加密设置都处于禁用状态。可以在创建存储库后更改标签不变性和镜像扫描设置。但是,该设置仅适用于设置更改后推送的镜像。

  • 如果在存储库上启用了标签不变性,并且复制了与现有镜像使用相同标签的镜像,则该镜像将被复制,但不包含重复的标签。这可能会形成未标记的镜像。