如果 ECS 集群仍在引用任何 ECR 映像，请避免使其过期

Question

我们正在实施生命周期策略来清理旧的 ECR 映像，但我们想要 避免在 Fargate ECS 集群仍在引用任何映像时使该映像过期。我们怎样才能最好地做到这一点？

我正在考虑添加一个由蓝绿开关设置和取消设置的“实时”标签，但存在一个问题 - 我们的 AWS CodePipeline 中的 2 个或更多环境可能使用相同的映像，因此我需要实现一些一种引用计数。

有没有更好的方法，或者我应该采用这种方法？

Answer 1

不幸的是，使用生命周期规则来管理镜像对于 AWS 来说并不理想。

• 多平台映像（amd64 + arm64）通过具有顶级元映像在注册表中进行管理，该元映像根据平台指向其他映像（这有点简化）。当您标记图像时，它仅标记顶级元图像，而不标记较低级别的元图像。因此，可能会意外删除图像。
• 正如您所发现的，即使图像在某处被引用，也可以被删除。

我没有使用生命周期规则，而是使用一个简单的脚本，其中包含我想要的任何逻辑。您可以运行过滤器来查看存在哪些 ECS 服务并正在使用该映像，然后排除任何返回空的位置。如果所有内容都在同一个帐户中，这会简单得多。

换句话说，不要让服务将标签推送到图像，而是让删除脚本明确确认没有删除正在使用的图像。那么您就不必担心有多少环境正在运行它。