亚马逊云代理商指南：如何在Amazon EC2上部署Docker容器并使用Amazon ECR安全存储映像

一、Amazon EC2与Docker的协同优势

Amazon Elastic Compute Cloud (EC2) 提供可扩展的虚拟服务器资源，结合Docker容器化技术，可快速实现应用部署和环境一致性。通过将Docker容器部署在EC2实例上，开发者能够：

• 利用EC2的弹性伸缩能力动态调整容器资源
• 通过实例类型选择优化容器性能（如计算优化型或内存优化型实例）
• 结合Amazon VPC实现网络隔离和安全组配置

二、Amazon ECR的核心价值

Amazon Elastic Container Registry (ECR) 是AWS专为Docker容器映像设计的全托管私有仓库，其核心优势包括：

• 安全存储：自动加密静态映像，支持IAM细粒度权限控制和VPC端点私有访问
• 高性能分发：与EC2区域原生集成，缩短映像拉取时间
• 成本优化：按实际存储量计费，生命周期策略自动清理旧映像
• CI/CD集成：无缝对接AWS CodeBuild/CodePipeline实现自动化构建

三、操作步骤详解

1. ECR仓库创建与配置

1. 通过AWS控制台创建ECR私有仓库（建议按项目命名）
2. 配置生命周期规则（如保留最近5个生产版本映像）
3. 设置仓库策略限制跨账户访问或特定IAM角色推送权限

2. Docker映像推送至ECR

# 获取ECR登录凭证
aws ecr get-login-password | docker login --username AWS --password-stdin [账户ID].dkr.ecr.[区域].amazonaws.com

# 构建并标记映像
docker build -t my-app .
docker tag my-app:latest [仓库URI]:v1.0

# 推送至ECR
docker push [仓库URI]:v1.0

3. EC2实例部署配置

1. 启动Amazon Linux 2或Ubuntu EC2实例（建议启用IAM角色关联）
2. 安装Docker引擎并配置ECR访问权限：

   sudo yum install -y docker
   sudo systemctl enable docker
   sudo usermod -a -G docker ec2-user

3. 通过实例角色或ECR凭证助手实现免密拉取：安装amazon-ecr-credential-helper

4. 容器运行与验证

# 从ECR拉取映像
docker pull [仓库URI]:v1.0

# 运行容器（示例映射80端口）
docker run -d -p 80:80 --name my-app [仓库URI]:v1.0

# 验证运行状态
docker ps
curl http://localhost

四、最佳实践建议

• 映像扫描：启用ECR自动扫描功能检测CVE漏洞
• 网络优化：在同区域部署EC2和ECR，或使用PrivateLink私有连接
• 监控方案：结合CloudWatch监控容器资源使用率和ECR存储指标
• 灾备策略：跨区域复制ECR仓库实现地域级容灾

总结

通过Amazon ECR与EC2的深度整合，企业可构建安全高效的容器化工作流。ECR提供企业级映像管理能力，而EC2则赋予容器弹性运行环境。二者结合不仅简化了DevOps流程，更通过AWS原生安全机制（如IAM、VPC、KMS加密）保障全链路安全。建议进一步结合ECS/EKS实现编排管理，构建完整的云原生应用体系。