プライベートサブネットから ECR にイメージをプッシュする際に必要な VPC エンドポイントを教えてください

困っていた内容

プライベートサブネットの EC2 から ECR にイメージをプッシュしたところ、タイムアウトが発生しました。VPC エンドポイントを設定すれば良さそうですが、ecr.dkr、ecr.api、s3と種類がたくさんあってよく分かりません。どれを選んだら良いか教えてください。

どう対応すればいいの?

com.amazonaws.region.ecr.dkrとcom.amazonaws.region.ecr.apiをご使用ください。

ECR にイメージをプッシュする際に必要な VPC エンドポイントは、ECR VPC エンドポイントとなります。ECR VPC エンドポイントは、対応する API によって2種類提供されていますが、プッシュの際は両方のエンドポイントが必要になります。

com.amazonaws.region.ecr.dkr

このエンドポイントは、Docker Registry API に使用されます。push や pull などの Docker クライアントコマンドでは、このエンドポイントが使用されます。

com.amazonaws.region.ecr.api

このエンドポイントは、Amazon ECR API への呼び出しに使用されます。DescribeImages や CreateRepository などの API アクションは、このエンドポイントに移動します。

やってみた

VPC エンドポイントを設定しない状態で、プライベートサブネットの EC2 から Docker イメージをプッシュします。

docker pushの前に、Docker クライアントを認証しますが、VPC エンドポイントを設定しない状態では、認証に必要なパスワード（aws ecr get-login-password）の取得に失敗します。

$ aws ecr get-login-password --region ap-northeast-1 | docker login --username AWS --password-stdin 1234567889012.dkr.ecr.ap-northeast-1.amazonaws.com Connect timeout on endpoint URL: "https://api.ecr.ap-northeast-1.amazonaws.com/" Error: Cannot perform an interactive login from a non TTY device

com.amazonaws.region.ecr.apiだけ追加して、再チャレンジします。
パスワードの取得は成功しましたが、その後のログイン（docker login）に失敗します。

$ aws ecr get-login-password --region ap-northeast-1 | docker login --username AWS --password-stdin 1234567889012.dkr.ecr.ap-northeast-1.amazonaws.com Error response from daemon: Get "https://1234567889012.dkr.ecr.ap-northeast-1.amazonaws.com/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

com.amazonaws.region.ecr.dkrも追加して、再チャレンジします。
ログインに成功し、その後のプッシュも成功しました。

$ aws ecr get-login-password --region ap-northeast-1 | docker login --username AWS --password-stdin 1234567889012.dkr.ecr.ap-northeast-1.amazonaws.com Login Succeeded $ docker tag hello-world:latest 123456789012.dkr.ecr.ap-northeast-1.amazonaws.com/hello-world:latest $ docker push 123456789012.dkr.ecr.ap-northeast-1.amazonaws.com/hello-world:latest The push refers to repository [123456789012.dkr.ecr.ap-northeast-1.amazonaws.com/hello-world] 123456789012: Pushed abcdefghijkl: Pushed latest: digest: sha256:123456789012abcdefghijkl123456789012 size: 2194

プライベートサブネットから ECR にイメージをプッシュする際に必要な VPC エンドポイントを教えてください

困っていた内容

どう対応すればいいの?

com.amazonaws.region.ecr.dkr

com.amazonaws.region.ecr.api

やってみた

参考資料

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

プライベートサブネットから ECR にイメージをプッシュする際に必要な VPC エンドポイントを教えてください

困っていた内容

どう対応すればいいの?

com.amazonaws.region.ecr.dkr

com.amazonaws.region.ecr.api

やってみた

参考資料

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜フィンテック / リテール 業界案件特集〜 を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

関連記事

[AWS CDK]Seleniumを動かすDockerイメージをLambdaで実行する

Amazon ECRのクロスリージョンレプリケーションを試してみた

[アップデート] Amazon ECR の自動再スキャン期間の間隔をより細かく設定できるようになりました

[プレビュー] プルスルーキャッシュで透過的に作成されるリポジトリを自動で初期設定するリポジトリ作成テンプレートが発表されました

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！