将 ECR 配置为从 Docker Hub 拉取的代理

Question

假设我有一个 EKS 集群、一个 EC2 实例和我的本地机器，我可以毫无问题地从我的私有 ECR 中提取图像。但是当我拉一个像 nginx 这样的通用镜像时，它会直接从 Docker Hub 传给我。是否可以将这个 pull 重定向到我的 ECR 首先（以便它扫描漏洞，甚至可能用于缓存目的），然后从我的 ECR 重定向到我从哪里提取？

如果这是不可能的，什么是好的选择？

Answer 1

AWS 容器团队人员在这里。你能澄清一件事吗？您是否可以将清单指向 ECR（充当外部注册表的集线器/缓存），还是希望将清单指向 DockerHub 但稍微透明地通过 ECR 进行缓存？我问是因为我们正在研究前一种情况。

您可以在此处订阅以查看进度并发表评论。

Answer 2

无法将您的请求重定向以将通用映像拉取至 ECR，然后拉至 Docker Hub。

我理解您对直接从 Docker Hub 提取镜像的担忧。因此，您可以像我们在项目中所做的那样：

1. 从 Docker Hub 拉取通用镜像一次
2. 使用该图像，通过您可能需要或不需要的任何自定义来构建您自己的图像。
3. 将新创建的映像发布到您的 ECR 存储库。
4. 接下来，使用您唯一的 ECR 存储库来提取该映像。

这样，您就可以完全控制您所拥有的图像。此外，从 ECR 存储库中提取它比一次又一次使用 Docker Hub 更安全。此外，您还可以进行任何您想要的定制。