Извлечение изображений из Kubernetes, работающих на AWS, с помощью ECR, извлечение изображений из неправильного региона в другой учетной записи

Question

У меня есть кластеры k8s на AWS, работающие с ECR и извлекающие изображения из всех регионов. Это отлично работает.

Но когда я пытаюсь извлечь изображения из другой учетной записи, они получают сообщение "Нет такого хоста" . Я следовал этим инструкциям, чтобы установить разрешения iam (и документы). Я не получаю разрешение на отказ - я получаю это:

Failed to pull image "<acc id>.dkr.ecr.ap-outheast-2.amazonaws.com/image:tag": 
rpc error: code = Unknown desc = Error response from daemon: 
Get https://<acc id>.dkr.ecr.ap-outheast-2.amazonaws.com/v1/_ping: 
dial tcp: lookup <acc id>.dkr.ecr.ap-outheast-2.amazonaws.com 
on 10.71.0.2:53: no such host

Мой кластер работает в ap-southeast-1, а IP-адрес 10.71.0.2:53 является DNS-AWS по умолчанию, установленным для VPC

Я пытаюсь обойти это, заполняя также регион ECR. Но это выглядит довольно неправильно.

Есть идеи, как разрешить ECR извлекать данные из другого региона?

Answer 1

Я думаю, что вы сделали простую опечатку в .dkr.ecr. ap-outheast-2 .amazonaws.com / image: tag - поэтому вы не получаете такой хост с DNS-сервера, просто попробуйте заменить ап-восток-2 с ап- с на восток-2.

Как правило, если вы настроили ECR IAM правильно, это должно работать, поскольку ECR доступен / маршрутизируется как общедоступная служба в Интернете с ограничениями на основе IAM.