Tác giả

Oct 23, 2025 • 5:00 AM

Tác giả: Linh osimi

Amazon ECR: Kho lưu trữ container riêng tư và an toàn trên AWS

Hiểu ECR qua vai trò thực tế trong pipeline DevOps — từ build, push đến deploy

1. ECR là gì và tại sao bạn cần nó?

Khi bạn đóng gói ứng dụng vào Docker container, bạn cần một nơi để lưu trữ image đó — giống như GitHub cho mã nguồn, nhưng dành riêng cho container. Đó chính là **Amazon ECR (Elastic Container Registry)**.

ECR là dịch vụ lưu trữ container registry **riêng tư, được quản lý hoàn toàn bởi AWS**, tích hợp sâu với IAM, ECS, EKS và các dịch vụ khác. Khác với Docker Hub (công cộng hoặc trả phí cho private repo), ECR:

  • Miễn phí cho private repository
  • Tự động quét lỗ hổng bảo mật (CVE) trong image
  • Tích hợp liền mạch với AWS CLI, Docker CLI và CI/CD tools
  • Chỉ cho phép truy cập qua IAM — không cần quản lý username/password riêng

Nếu bạn chạy container trên AWS (ECS/EKS), **ECR là lựa chọn tự nhiên và an toàn nhất**.

ECR trong luồng CI/CD
Hình 1: ECR đóng vai trò trung tâm trong luồng CI/CD: build → push → pull → deploy.

2. Cấu trúc và khái niệm cơ bản

2.1. Repository

Là nơi chứa các phiên bản (tag) của một image. Tên repository thường theo định dạng: my-app/backend, nginx-custom, v.v.

Mỗi repository có URL duy nhất, ví dụ:

123456789012.dkr.ecr.ap-southeast-1.amazonaws.com/my-app

2.2. Image và Tag

- Image là bản snapshot của ứng dụng đã build.
- Tag là nhãn phiên bản, ví dụ: latest, v1.2.0, sha-a1b2c3d.
- AWS khuyến nghị **tránh dùng latest trong production** — vì không xác định được phiên bản cụ thể.

2.3. Scan lỗ hổng bảo mật

ECR tự động quét image khi bạn push (hoặc theo lịch). Kết quả hiển thị trong console: số CVE, mức độ nghiêm trọng (CRITICAL, HIGH…), và CVE ID.

Bạn có thể chặn pipeline nếu phát hiện lỗ hổng nghiêm trọng — tăng độ tin cậy hệ thống.

3. Thực hành: Từ build đến push image vào ECR

Giả sử bạn có ứng dụng Node.js với Dockerfile trong thư mục hiện tại.

Bước 1: Tạo repository trên AWS Console

  • Vào ECR → Repositories → Create repository
  • Tên: my-web-app
  • Giữ nguyên các tùy chọn mặc định (private, scan on push: bật)

Bước 2: Build image cục bộ

docker build -t my-web-app .

Bước 3: Đăng nhập Docker CLI vào ECR

Chạy lệnh sau (AWS CLI phải đã được cấu hình):

aws ecr get-login-password --region ap-southeast-1 | docker login --username AWS --password-stdin 123456789012.dkr.ecr.ap-southeast-1.amazonaws.com

Bước 4: Đặt tag cho image theo định dạng ECR

docker tag my-web-app:latest 123456789012.dkr.ecr.ap-southeast-1.amazonaws.com/my-web-app:v1.0.0

Bước 5: Push image lên ECR

docker push 123456789012.dkr.ecr.ap-southeast-1.amazonaws.com/my-web-app:v1.0.0

Sau bước này, image sẽ xuất hiện trong repository, kèm kết quả quét bảo mật sau vài phút.

4. Tích hợp ECR với ECS và EKS

Khi tạo task definition (ECS) hoặc deployment (EKS), bạn chỉ cần khai báo image URL đầy đủ từ ECR:

123456789012.dkr.ecr.ap-southeast-1.amazonaws.com/my-web-app:v1.0.0

Với ECS (Fargate hoặc EC2), bạn cần đảm bảo:

  • Task execution role có quyền ecr:GetDownloadUrlForLayer, ecr:BatchGetImage, ecr:GetAuthorizationToken.
  • Task chạy trong VPC có kết nối đến ECR (thường qua internet hoặc VPC endpoint).

Với EKS, bạn có thể dùng IAM role cho service account (IRSA) để cấp quyền pull image — không cần secret Docker.

5. Best practices khi dùng ECR

  • Luôn dùng tag có phiên bản cụ thể (ví dụ: git commit hash hoặc semantic version) — không dùng latest trong production.
  • Bật scan on push và tích hợp vào CI pipeline để fail build nếu có lỗ hổng CRITICAL.
  • Dọn dẹp image cũ bằng lifecycle policy — tránh tốn chi phí lưu trữ.
  • Sử dụng VPC endpoint cho ECR (com.amazonaws.region.ecr.dkr, com.amazonaws.region.ecr.api) để giữ traffic trong AWS backbone — tăng bảo mật và hiệu năng.
  • Giới hạn quyền pull/push bằng IAM policy — chỉ cho CI/CD user quyền push, chỉ cho ECS task quyền pull.
VPC endpoint cho ECR
Hình 2: Dùng VPC endpoint để container pull image từ ECR mà không qua internet.

6. Kết luận

Amazon ECR không chỉ là “nơi lưu image” — mà là **mắt xích bảo mật và kiểm soát** trong toàn bộ vòng đời container. Khi được kết hợp với IAM, VPC endpoint và lifecycle policy, ECR giúp bạn:

  • Ngăn rò rỉ image ra ngoài
  • Phát hiện lỗ hổng trước khi deploy
  • Tối ưu chi phí lưu trữ
  • Tăng tốc độ pull image trong VPC

Trong hệ sinh thái AWS, **ECR + ECS/EKS là bộ đôi đáng tin cậy** cho mọi workload container — từ prototype đến hệ thống production quy mô lớn.

Hãy bắt đầu bằng cách tạo một repository, push image đầu tiên, và bật scan — bạn sẽ thấy ngay giá trị của một registry “có trách nhiệm”.

Các bài viết liên quan:

AWS EC2

Bài 0 - AWS EC2: Máy chủ ảo đầu tiên của bạn

Khởi tạo và quản lý máy chủ ảo trên AWS với EC2, làm nền tảng cho mọi ứng dụng đám mây.

 AWS VPC

Bài 1 - AWS VPC: Mạng riêng ảo

Tạo cấu trúc mạng nội bộ an toàn, kiểm soát luồng truy cập giữa các tài nguyên trong AWS.

 AWS IAM

Bài 2 - AWS IAM: Quản lý người dùng và quyền truy cập

Thiết lập người dùng, nhóm và chính sách bảo mật để quản lý truy cập dịch vụ AWS hiệu quả.

 AWS ECS

Bài 3 - AWS ECS: Triển khai ứng dụng Docker

Chạy và quản lý container tự động bằng ECS — dịch vụ mạnh mẽ cho kiến trúc microservices.

 AWS S3

Bài 5 - AWS S3: Lưu trữ dữ liệu đám mây

Tìm hiểu dịch vụ lưu trữ đối tượng nổi tiếng nhất AWS — dễ dùng, linh hoạt và bảo mật cao.

 AWS RDS

Bài 6 - AWS RDS: Cơ sở dữ liệu quan hệ

Tự động triển khai và quản lý cơ sở dữ liệu MySQL, PostgreSQL, hoặc MariaDB trên AWS.

 AWS CloudFront

Bài 7 - AWS CloudFront: Mạng phân phối nội dung (CDN)

Tăng tốc độ tải trang và bảo mật nội dung toàn cầu với dịch vụ CDN mạnh mẽ của AWS.