10
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

セゾン情報システムズAdvent Calendar 2021

Day 1

Amazon ECRのPull through cacheでECR PublicからDocker公式イメージをpullする

Last updated at Posted at 2021-11-30

この記事は セゾン情報システムズ Advent Calendar 2021 1日目の記事です。

記事のタイトルは一体何を言っているんだ

AWS re:Invent 2021 の Day 1 で Amazon ECR に関連する2つのアップデートがありました。

これらを合わせて使用することで Private な ECR Repository のみを使いつつ、Docker Hub のオフィシャルイメージを透過的に pull できるようになります。

Amazon ECR の Pull through cache って?

対応するパブリックコンテナイメージレジストリ上のイメージを、ECR の Private リポジトリにキャッシュできる機能です。2021/11/30 現在で Quay.io と ECR Public に登録されているイメージをキャッシュできます。

セキュリティ上の理由でパブリックなコンテナレジストリにはアクセスさせたくないが、特定のベースイメージの利用に限っては許可したいケースなどで特に嬉しい機能です。PriavateLink で ECR を利用している環境でもパブリックなイメージを透過的に pull でき、イメージに更新があった場合は自動で同期されます。

※ 厳密には PrivateLink 環境では初回のみ NAT Gateway を経由したインターネットアクセスが必要になります。

Docker の公式イメージをキャッシュするには?

前述の通り、Pull through cache は 現時点で Quay.io と ECR Public のみ対応しています。Docker Hub に登録されているイメージはキャッシュできませんが、Pull through cache の発表と同日に Docker の公式イメージが Amazon ECR Public 上で利用可能になったことがアナウンスされました。

つまり、ECR Public 上に登録されている Docker公式イメージを ECR のプライベートリポジトリにキャッシュすることは可能ということです。

実際にやってみます。Amazon ECR コンソールの Private registry → Pull through cache からプルスルーキャッシュ設定を追加します。

image.png

ソースのパブリックレジストリで ECR Public を選択します。送信先の名前空間は任意のものを指定できますが、ここではコンソールでデフォルトで入力されている ecr-public を使用します。

image.png

設定はこれだけです。簡単ですね!

image.png

今回は Docker の 公式イメージを pull したいので、NGINX のイメージを例にします。Docker から配信されているイメージであることとその URL を確認します。

image.png

ECR のプライベートレジストリにログイン後、以下の形式で Pull through cache 機能を利用してイメージを pull できます。

docker pull <aws_account_id>.dkr.ecr.<region>.amazonaws.com/<name_space>/<repository_name>/<image_name>:<tag>

$ aws ecr get-login-password | docker login --username AWS --password-stdin https://123456789012.dkr.ecr.us-east-1.amazonaws.com
Login Succeeded

$ docker pull 123456789012.dkr.ecr.us-east-1.amazonaws.com/ecr-public/docker/library/nginx:1.21.4
1.21.4: Pulling from ecr-public/docker/library/nginx
eff15d958d66: Pull complete 
1e5351450a59: Pull complete 
2df63e6ce2be: Pull complete 
9171c7ae368c: Pull complete 
020f975acd28: Pull complete 
266f639b35ad: Pull complete 
Digest: sha256:097c3a0913d7e3a5b01b6c685a60c03632fc7a2b50bc8e35bcaa3691d788226e
Status: Downloaded newer image for 664573244438.dkr.ecr.us-east-1.amazonaws.com/ecr-public/docker/library/nginx:1.21.4
123456789012.dkr.ecr.us-east-1.amazonaws.com/ecr-public/docker/library/nginx:1.21.4

以下のようにプライベートリポジトリとしてイメージがキャッシュされていることがわかります。

image.png

Pull 可能なリポジトリを制限するには?

レジストリのアクセス許可設定で制限可能です。コンソールでは簡単に Pull through cache 用のポリシーを作成できるようになっています。

ポリシータイプで pull through cache policy を選択し、任意のステートメント ID を指定します。次に許可を付与する IAM エンティティを追加し、キャッシュルールで指定した名前空間 (ここでは ecr-public) を選択します。Docker 公式イメージの pull のみを許可する場合、リポジトリ名に docker/* を指定します。

image.png

実際に作成される json のリソースポリシーは以下のような形式になります。

{
  "Sid": "allow-statement",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "<許可する IAM エンティティの ARN>"
    ]
  },
  "Action": [
    "ecr:CreateRepository",
    "ecr:BatchImportUpstreamImage"
  ],
  "Resource": [
    "arn:aws:ecr:us-east-1:123456789012:repository/ecr-public/docker/*"
  ]
}

上記のようなレジストリのアクセス許可を設定した状態で、今度は NGINX, Inc. が提供するイメージを pull しようとすると想定通りエラーになりました。ただしエラーメッセージが does not exist なので少々わかりづらい気がしますね。

$ docker pull 123456789012.dkr.ecr.us-east-1.amazonaws.com/ecr-public/nginx/nginx:1.21.4
Error response from daemon: repository 123456789012.dkr.ecr.us-east-1.amazonaws.com/ecr-public/nginx/nginx not found: name unknown: The repository with name 'ecr-public/nginx/nginx' does not exist in the registry with id '123456789012'

Pull through cache 機能の注意点など

  • 初回のイメージ pull 時に Pull through cache によって透過的に作成されるリポジトリは、Amazon S3 が管理する暗号化キーによって暗号化されます
    • KMS による暗号化を行いたい場合はイメージの pull を行う前に明示的に KMS 暗号化を有効化したリポジトリを作成しておく必要があります
  • タグのイミュータビリティもデフォルトで無効になります
    • 有効にすると、Pull through cache によるイメージの更新が正常に行われない可能性があります
  • PrivateLink 環境下で ECR を使用している場合、初回のイメージ pull 時のみ NAT Gateway 経由でパブリックレジストリに接続する必要があります
    • 初回の pull 移行、Pull through cache によってイメージの更新が行われる場合は NAT Gateway は不要です
    • ドキュメントに以下のように記述されています。

When an image is pulled using a pull through cache rule for the first time, if you've configured Amazon ECR to use an interface VPC endpoint using AWS PrivateLink then you need to create a public subnet in the same VPC, with a NAT gateway, and then route all outbound traffic to the internet from their private subnet to the NAT gateway in order for the pull to work. Subsequent image pulls don't require this.

公式ドキュメント

https://docs.aws.amazon.com/AmazonECR/latest/userguide/pull-through-cache.html
 

簡単ですが、以上です。
参考になれば幸いです。

10
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
10
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?