当使用ECR存储与ECS一起使用的容器映像时,EC2实例(或Fargate服务)必须具有允许(通过公共互联网)访问特定于帐户的存储库URI的安全组。
许多组织都有严格的IP白名单规则,这些规则通常不允许为所有IP启用出站端口443。
ECR没有可用的VPC端点接口/网关,并且可能与大多数AWS服务一样,其IP地址具有弹性,可能随时发生变化。
那么如何将一个出口规则添加到安全组中,该安全组允许通过端口443向ECR URI进行出站访问,而无需将其打开到所有IP地址?
尽管端点的IP地址可能会发生变化,但它只会更改为相当大的CIDR块中的另一个IP地址。 Amazon可在此处获取的.json文件中发布其所有IP地址范围:
https://aws.amazon.com/blogs/aws/aws-ip-ranges-json/
您可以将其缩小到您部署到的区域中的EC2和AMAZON服务的IP地址范围。尽管范围相当大。
打开DNS (UDP) 53 for 0.0.0.0/0
和HTTPS 443 for 0.0.0.0/0