Configurer la localité des données à l'aide de points de terminaison régionaux

Cette page décrit les points de terminaison de service régionaux et globaux d'Artifact Analysis, ainsi que leur utilisation.

Un point de terminaison de service est une URL de base qui spécifie l'adresse réseau d'un service d'API. Artifact Analysis dispose de points de terminaison mondiaux et régionaux.

• Point de terminaison global: par défaut, Artifact Analysis envoie des requêtes d'API au point de terminaison global, containeranalysis.googleapis.com. Les points de terminaison globaux ne garantissent pas que les données en transit restent dans un emplacement particulier et peuvent récupérer des données d'Artifact Analysis à partir de n'importe quelle région prise en charge. Vos données peuvent être traitées en dehors de la région où elles sont stockées.

• Point de terminaison régional: point de terminaison de service qui applique des restrictions régionales, en veillant à ce que les données soient stockées, transmises et traitées dans une région spécifiée. Un point de terminaison régional ne permet de traiter les requêtes que si la ressource concernée existe dans l'emplacement spécifié par le point de terminaison. Les points de terminaison régionaux utilisent le format suivant:

  containeranalysis.region.rep.googleapis.com.

  Envisagez d'utiliser des points de terminaison régionaux dans les situations suivantes:

  • L'application qui doit accéder à vos données n'est pas géographiquement proche de la région où elles sont stockées.

  • Vous stockez des données dans plusieurs emplacements et souhaitez optimiser la latence, la fiabilité et la disponibilité.

  • Vous devez respecter les règles ou les règlements de localité des données qui vous obligent à traiter vos données dans le même emplacement où elles sont stockées.

Les attestations et les données de provenance de compilation sont stockées dans le point de terminaison global. Les résultats de l'analyse des failles et les données du SBOM sont stockés dans des points de terminaison régionaux et multirégionaux.

Emplacements compatibles avec les points de terminaison régionaux

Vous pouvez utiliser des points de terminaison régionaux pour la plupart des régions compatibles avec l'Artifact Analysis.

Pour les zones multirégionales et certaines régions, Artifact Analysis n'est compatible qu'avec le point de terminaison mondial.

Pour obtenir la liste des régions compatibles et des points de terminaison de service compatibles pour chaque région, consultez la section Emplacements de stockage des métadonnées.

Commandes Google Cloud CLI

Lorsque vous utilisez la gcloud CLI, vous pouvez envoyer des requêtes au point de terminaison régional de deux façons:

• Utilisez l'option --location.
• Définissez le point de terminaison régional par défaut que vous souhaitez utiliser pour les commandes d'Artifact Analysis.

Utilisez l'option --location.

Vous pouvez utiliser l'option --location avec l'une des commandes suivantes pour diriger la requête vers le point de terminaison de service approprié:

• gcloud artifacts sbom export
• gcloud artifacts sbom list
• gcloud artifacts sbom load
• gcloud artifacts version describe
• Liste des failles des artefacts gcloud
• gcloud artifacts vulnerabilities load-vex

Pour que la requête soit traitée avec un point de terminaison régional, l'emplacement spécifié doit respecter les exigences suivantes:

• L'emplacement est compatible avec un point de terminaison régional.
• L'emplacement correspond à la région dans laquelle les métadonnées de l'artefact sont stockées.

Si vous omettez l'option --location ou spécifiez un emplacement qui n'est pas compatible avec un point de terminaison régional, la commande utilise le point de terminaison global.

Par exemple, la commande suivante liste les failles d'une image stockée dans us-east1:

gcloud artifacts vulnerabilities list --location=us-east1 us-east1-docker.pkg.dev/my-project/my-repo/my-image@sha256:49765698074d6d7baa82f

Définir un point de terminaison par défaut pour les commandes

Par défaut, les commandes de la gcloud CLI utilisent le point de terminaison global. Vous pouvez définir un point de terminaison régional par défaut pour les commandes d'Artifact Analysis afin de ne pas avoir à spécifier l'emplacement dans des commandes individuelles.

Assurez-vous d'utiliser la version 402.0.0 ou ultérieure de gcloud CLI.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• LOCATION: région dans laquelle vos métadonnées sont stockées.

Exécutez la commande suivante :

gcloud config set api_endpoint_overrides/containeranalysis https://containeranalysis.LOCATION.rep.googleapis.com

gcloud config set api_endpoint_overrides/containeranalysis https://containeranalysis.LOCATION.rep.googleapis.com

gcloud config set api_endpoint_overrides/containeranalysis https://containeranalysis.LOCATION.rep.googleapis.com

Utiliser un point de terminaison régional pour les méthodes d'API

Spécifiez le point de terminaison régional au lieu du point de terminaison mondial. Par exemple, l'exemple suivant liste les occurrences dans la région spécifiée.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

• LOCATION: région dans laquelle vos métadonnées sont stockées.
• PROJECT_ID: ID de projet de votre projet Google Cloud .

Méthode HTTP et URL :

GET https://containeranalysis.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/occurrences

Pour envoyer votre requête, développez l'une des options suivantes :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://containeranalysis.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/occurrences"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://containeranalysis.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/occurrences" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

occurrences: [
  {
    name: "projects/my-project/locations/us-east1/occurrences/030b7805-eca4-4739-9a43-ec65ed98c61f"
    resource_uri: "https://us-east1-docker.pkg.dev/my-project/my-repo/my-image@sha256:b487c4da45ce363eef69d9c066fa26f6666e4f3c9c414d98d1e27bfcc949e544"
    note_name: "projects/goog-vulnz/locations/us-east1/notes/CVE-2018-1272"
    kind: VULNERABILITY
    ...
  }

Avant le passage au stockage régional des métadonnées, les occurrences et les notes ne comportaient pas de nom de lieu dans leurs identifiants. Comme les nouvelles analyses stockent des métadonnées dans des régions, les requêtes API utilisant des points de terminaison globaux ou régionaux renvoient des résultats qui incluent des identifiants de lieu.

Un identifiant d'occurrence avant la transition se présentait comme suit:

name: "projects/my-project/occurrences/030b7805-eca4-4739-9a43-ec65ed98c61f"

La même occurrence stockée dans us-east1 se présente comme suit:

name: "projects/my-project/locations/us-east1/occurrences/030b7805-eca4-4739-9a43-ec65ed98c61f"

Étape suivante

• Consultez les emplacements de stockage des métadonnées et les points de terminaison de service compatibles pour chaque emplacement.