Amazon Elastic Container Registry (ECR)とは

Amazon ECRは、コンテナイメージをクラウド上に保管できるサービスです。
詳細については、公式ページのDescription部分で説明されています。

Amazon Elastic Container Registry (ECR) は、完全マネージド型の Docker コンテナレジストリです。このレジストリを使うと、デベロッパーは Docker コンテナイメージを簡単に保存、管理、デプロイできます。
https://aws.amazon.com/jp/ecr/

本記事ではECRにリポジトリを作成するところから、コンテナイメージをプッシュするまでを紹介します。
※AWSアカウントは作成済み。PCはMacを想定しています。

ECRリポジトリ作成手順

https://ap-northeast-1.console.aws.amazon.com/ecr/get-started?region=ap-northeast-1
Amazon ECRのページから[使用方法]ボタンをクリック。

リポジトリを作成

• 可視性設定:プライベート
• リポジトリ名:任意
• タグのイミュータビリティ:無効

タグのイミュータブルを有効にした場合、同じタグでの上書きを禁止します。
同じタグを別のイメージにつけてpushできないため、latest運用ができなくなります。

無効にした場合は、タグによるイメージの追跡が出来なくなるためSHAを使用して探す必要が出てきます。
https://aws.amazon.com/jp/about-aws/whats-new/2019/07/amazon-ecr-now-supports-immutable-image-tags/

• イメージスキャンの設定:無効
• KMS暗号化:無効

プッシュ時にスキャンを有効にした場合は、プッシュした際に自動でリポジトリ内のイメージに対して脆弱性スキャンをかけてくれます。
https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/image-scanning.html

また、KMS暗号化を有効にすると、デフォルトの暗号化の代わりにKMS(Key Management Service)のカスタマーマスターキーを用いて暗号化するようになります。

[リポジトリを作成] ボタンをクリックし、 正常に作成されましたというメッセージ が表示されるとリポジトリの作成は完了です。

ECRにイメージをプッシュ

準備

AWS CLI と Dockerが必要なので、あらかじめインストールを行います。
既にインストール済みの方はスキップしてください。

AWS CLIのインストール

以下のコマンドを実行し、最新版のAWS CLIをインストールします。

curl "https://awscli.amazonaws.com/AWSCLIV2.pkg" -o "AWSCLIV2.pkg"
sudo installer -pkg AWSCLIV2.pkg -target /

AWS CLIのインストールが完了したら、aws configコマンドで認証情報の設定を行います。

IAM ユーザーを設定済みの場合

以下の手順からアクセスキーとシークレットアクセスキーを生成した後、aws configを実行し情報を入力します。
https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-creds

IAM ユーザーを未設定の場合

管理者用のIAMを作成します。
IAM画面に遷移し、[ユーザー]→[ユーザーの追加]をクリックします。
https://console.aws.amazon.com/iam/home#/users

ユーザー名を入力し、アクセスの種類から[プログラムによるアクセス]を選択し、[次のステップ]をクリックします。

アクセス許可の設定で、既存のポリシーを直接アタッチをから、 AdministratorAccess を選択し次へ進みます。

タグの追加 (オプション)は特に行わず、次のステップに進みます。
確認画面で[ユーザーの作成]をクリックします。

ユーザーの作成が完了すると、アクセスIDとシークレットアクセスキーが表示されます。
後の手順で利用するのでひかえておきます。

aws configコマンドを実行し、以下の通り情報を入力します。

AWS Access Key ID [None]:先程作成したアクセスID
AWS Secret Access Key [None]:先程作成したシークレットアクセスキー
Default region name :ap-northeast-1 (東京リージョン)
Default output format :json

$ aws configure
AWS Access Key ID [None]: ***
AWS Secret Access Key [None]: ***
Default region name [None]: ap-northeast-1
Default output format [None]: json

Dockerのインストール

dockerコマンドを実行する必要があるため、最新のDockerをインストールします。
公式から [get Docker] をクリックしダウンロードし、インストールしてください。
https://hub.docker.com/editions/community/docker-ce-desktop-mac

インストールが完了したら起動し、メニューバーにDockerアイコンが現れることを確認します。

コンテナイメージの格納

準備が完了したら、リポジトリにイメージを格納してみます。
メッセージ横の[プッシュコマンドの表示]をクリックします。

メッセージを閉じてしまった場合は、リポジトリ画面からでも遷移出来ます。

先程作成したリポジトリにプッシュするための手順が表示されます。

コマンド実行

1.認証

$ aws ecr get-login-password --region us-east-2 | docker login --username AWS --password-stdin <ドメイン名>

ダイアログ1番目のコマンドをコピペして実行します。
認証コマンドに成功すると、Login Succeededと表示されます。

Error response from daemon: dial unix docker.raw.sock: connect: connection refused 

上記のメッセージが表示された場合は、Dockerを起動していない可能性が高いので、Dockerが起動しているか確認してください。

Unable to locate credentials. You can configure credentials by running "aws configure".
Error: Cannot perform an interactive login from a non TTY device

上記のメッセージが表示された場合は、認証情報の設定が未完了ですのでaws configureを実行し認証設定を済ませてください。

2.ビルド

dockerイメージのあるディレクトリに移動して、2番めのコマンドを実行します。

$ docker build -t test .

もしも、dockerイメージの用意が無い場合は、試しにdockerのdoodle(いたずら書き)をcloneしてからビルドしてみましょう。

$ git clone https://github.com/docker/doodle.git
$ cd doodle/cheers2019
$ docker build -t test .

3.イメージにタグづけ

3番目のコマンドをコピペして実行します。

docker tag test:latest <aws_account_id>.dkr.ecr.ap-northeast-1.amazonaws.com/test:latest

一定時間時間が経つと認証が切れてコマンドに失敗することがあります。
以下のメッセージが表示されたら、1.認証に戻ってコマンドを再実行してください。

no basic auth credentials

4.dockerイメージのpush

4番目のコマンドをコピペして実行します。

docker push <aws_account_id>.dkr.ecr.ap-northeast-1.amazonaws.com/test:latest

以上で、コンテナイメージのpushは完了です。

イメージの確認

コンテナイメージが正常に格納されたことを確認します。

ECRの画面からリポジトリを選択すると、プッシュしたイメージタグが表示されると思います。
プッシュされた日時が最新になっていればOKです。
https://ap-northeast-1.console.aws.amazon.com/ecr/repositories?region=ap-northeast-1#