使用 ECR 存储容器映像以用于 ECS 时,EC2 实例(或 Fargate 服务)必须具有允许(通过公共 Internet)访问帐户特定存储库 URI 的安全组。
许多组织都有严格的 IP 白名单规则,通常不允许为所有 IP 启用出站端口 443。
没有可用于 ECR 的 VPC 端点接口/网关,并且大概像大多数 AWS 服务一样,它的 IP 地址是弹性的,并且可以随时更改。
那么,如何将出口规则添加到允许通过端口 443 对 ECR URI 进行出站访问的安全组,而不向所有 IP 地址开放呢?
虽然端点的 IP 地址可以更改,但它只会更改为相当大的 CIDR 块中的另一个 IP 地址。亚马逊将其所有 IP 地址范围发布在 .json 文件中,可在此处获取:
https://aws.amazon.com/blogs/aws/aws-ip-ranges-json/
您可以将其缩小到您部署到的区域中 EC2 和 AMAZON 服务的 IP 地址范围。尽管范围相当大。
您可以使用 AWS PrivateLink 来实现这一点;请参阅Amazon ECR 接口 VPC 终端节点 (AWS PrivateLink)。
打开
DNS (UDP) 53 for 0.0.0.0/0和HTTPS 443 for 0.0.0.0/0