私有 Docker 镜像

Docker Compose CLI 会自动配置授权，以便您可以从同一 AWS 账户上的 Amazon ECR 注册表中提取私有映像。要从另一个注册表（包括 Docker Hub）提取私有映像，您必须在AWS Secrets Manager 服务上创建用户名 + 密码（或用户名 + 令牌）密钥。

为方便起见，Docker Compose CLI 提供了该docker secret命令，因此您可以管理在 AWS SMS 上创建的机密，而无需安装 AWS CLI。

首先，创建一个token.json文件来定义您的 DockerHub 用户名和访问令牌。

有关如何生成访问令牌的说明，请参阅管理访问令牌。

{

“username”:”DockerHubUserName”,

“password”:”DockerHubAccessToken”

}

然后，您可以使用docker secret以下命令从该文件创建一个秘密：

$ docker secret create dockerhubAccessToken token.json

创建后，您可以在 Compose 文件中使用此 ARN，将x-aws-pull_credentials自定义扩展与服务的 Docker 映像 URI 结合使用。

services:

worker:

image: mycompany/privateimage

x-aws-pull_credentials: “arn:aws:secretsmanager:eu-west-3:12345:secret:DockerHubAccessToken”

卷

ECS 集成支持基于 Amazon Elastic File System (Amazon EFS) 的卷管理。对于要声明 的 Compose 文件volume，ECS 集成将定义在 CloudFormation 模板中创建 EFS 文件系统，并使用Retain策略，以便在应用程序关闭时不会删除数据。如果再次部署相同的应用程序（相同的项目名称），将重新附加文件系统以提供开发人员使用 docker-compose 时所习惯的相同用户体验。

使用卷的基本组合服务可以这样声明：

services:

nginx:

image: nginx

volumes:

– mydata:/some/container/path

volumes:

mydata:

没有特定的卷选项，卷仍然必须volumes在 compose 文件有效的部分中声明（在上面的示例中为空mydata:条目）如果需要，可以使用driver-opts以下方法自定义初始文件系统：

volumes:

my-data:

driver_opts:

# Filesystem configuration

backup_policy: ENABLED

lifecycle_policy: AFTER_14_DAYS

performance_mode: maxIO

throughput_mode: provisioned

provisioned_throughput: 1

通过docker compose up在 AWS 上执行创建的文件系统可以使用 列出 docker volume ls和删除docker volume rm。

现有文件系统也可用于已将数据存储在 EFS 上或想要使用由另一个 Compose 堆栈创建的文件系统的用户。

volumes:

my-data:

external: true

name: fs-123abcd

从容器访问卷可能会引入 POSIX 用户 ID 权限问题，因为 Docker 镜像可以为在容器内运行的进程定义任意用户 ID/组 ID。但是，同样uid:gid必须匹配文件系统上的 POSIX 权限。要解决可能的冲突，您可以设置卷 uid并gid在访问卷时使用：

volumes:

my-data:

driver_opts:

# Access point configuration

uid: 0

gid: 0