LoginSignup
3
0

More than 1 year has passed since last update.

@t_tsuchida(Takumi Tsuchida)

Amazon ECRプルスルーキャッシュリポジトリをVPCエンドポイント経由で試す

Last updated at Posted at 2022-02-07

はじめに

Amazon ECRにはプルスルーキャッシュリポジトリという機能があります。
こちらの機能利用し、VPCエンドポイント経由でPublicレジストリからイメージをPullしてみます。

プルスルーキャッシュリポジトリとは

簡単に言うと、ECRプライベートレジストリ内にパブリックレジストリのリポジトリをキャッシュすることができ、24時間に1回同期も行ってくれるという機能です。
以下公式ドキュメントから引用です。

Amazon ECR は、プライベート Amazon ECR レジストリのリモートパブリックレジストリ内のリポジトリのキャッシュをサポートします。Amazon ECR は現在、Amazon ECR パブリックおよび Quay のプルスルーキャッシュルールの作成をサポートしています。外部パブリックレジストリのプルスルーキャッシュが作成されたら、Amazon ECR プライベートレジストリ URI を使用して、その外部パブリックレジストリからイメージをプルするだけで、Amazon ECR はリポジトリを作成し、そのイメージをキャッシュします。キャッシュされたイメージが Amazon ECR プライベートレジストリ URI を使用してプルされると、Amazon ECR はリモートレジストリをチェックしてイメージの新しいバージョンがあるかどうかを確認し、24 時間ごとに 1 回までプライベートレジストリを更新します。

試してみる

以下の構成を試してみます。
踏み台からPrivateSubnetにあるEC2に入り、VPCエンドポイントとプライベートレジストリを経由してパブリックレジストリにあるイメージをPullします。
以下のVPCエンドポイントを作成しました。

  • com.amazonaws.ap-northeast-1.ecr.dkr
  • com.amazonaws.ap-northeast-1.ecr.api
  • com.amazonaws.ap-northeast-1.s3

Qiita_構成.png

※注意
公式ドキュメントにも記載がありますが、最初のpullはNat Gatewayを経由する必要があります。

初めてプルスルーキャッシュルールを使用してイメージをプルするとき、AWS PrivateLink を使って、インターフェイス VPC エンドポイントを使用するように Amazon ECR を設定した場合、NAT ゲートウェイを使用して、同じ VPC 内にパブリックサブネットを作成し、プルが機能するように、プライベートサブネットから NAT ゲートウェイへのすべてのアウトバウンドトラフィックをインターネットにルーティングする必要があります。その後のイメージプルでは、これは必要ありません。

プルスルーキャッシュリポジトリ有効化

マネコンから有効化します。
「ECS → Private registry → Pull through cache」からプルスルーキャッシュルールを作成します。
設定は以下のようにします

  • パブリックレジストリ(ECR Public or Quay)
    • ECR Public
  • ソースレジストリURL(固定)
    • public.ecr.aws
  • Amazon ECR リポジトリ名前空間(デフォルト)
    • ecr-public

qiita_01.png

イメージをPull

Private Subnetにあるインスタンスに入り、ECRにログインします。

$ aws ecr get-login-password \
	--region <region> | docker login \
	--username AWS \
	--password-stdin <aws_account_id>.dkr.ecr.<region>.amazonaws.com
> Login Succeeded

ログインできたため、VPCエンドポイント経由でECRに接続できていることが確認できました。

次に、パブリックリポジトリから直接イメージをPullしてみます。

$ docker pull public.ecr.aws/amazonlinux/amazonlinux:latest
> Error response from daemon: Get "https://public.ecr.aws/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

接続できずpullができないことが確認できました。

最後にプライベートリポジトリ経由でpullしてみます。
指定方法は<プライベートリポジトリ>/<リポジトリ名前空間>/<パブリックイメージ>のような形です。

$ docker pull aws_account_id.dkr.ecr.region.amazonaws.com/ecr-public/amazonlinux/amazonlinux:latest
> latest: Pulling from ecr-public/amazonlinux/amazonlinux
f964900200fc: Pull complete
Digest: sha256:1dbd901e3a2464e81481e78836d46f79d1d16072b8fe0cd7f1d660dc2b668fa7
Status: Downloaded newer image for aws_account_id.dkr.ecr.ap-northeast-1.amazonaws.com/ecr-public/amazonlinux/amazonlinux:latest
aws_account_id.dkr.ecr.ap-northeast-1.amazonaws.com/ecr-public/amazonlinux/amazonlinux:latest

pullすることができました!
マネコンから確認すると、リポジトリが生成されイメージが落ちてきていることがわかります。
qiita_02.png

まとめ

VPCエンドポイント経由でPublicイメージをpullできることを確認しました。これにより、2回目以降はパブリックなイメージを使用する際にPrivate Subnetからnatなしで利用できます。

参考

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0