工件是由软件开发流程创建的文件,例如软件包、容器、配置文件或文档。工件的示例包括:
- 构建的输出,例如容器映像或软件包
- 构建或部署应用所需的依赖项,例如基础映像或开源软件包
- 配置文件,例如 Helm 图表
本页面介绍可用于存储、保护和部署工件的 Google Cloud 的工件管理工具。
Google Cloud 上的工件管理工具
使用 Artifact Registry 存储工件,从而在私有或公开代码库中安全地存储和管理工件。它是 Container Registry 的下一代产品,Container Registry 是用于存储和管理容器的 Google Cloud 服务。
使用 Container Analysis 管理元数据,它允许您:
- 扫描容器映像查找已知漏洞。
- 向容器映像添加其他元数据,例如表明映像已通过集成测试套件测试的元数据。您可以使用 Container Analysis 整合来自不同来源的元数据。
使用 Binary Authorization 确保仅部署可信的容器。使用它来创建安全政策,以便仅将获准的容器部署到 Google Kubernetes Engine 或 VMware 上的 Anthos 集群。Binary Authorization 可用于 Artifact Registry、Container Registry 和其他容器映像注册表中的容器映像。
工件管理系统的优势
使用工件可能很复杂,因为工件来自组织内部和外部的众多来源。如果您与之互动的任何系统发生服务中断或其他问题,就会引入潜在故障。单个构建可能包含以下来源的文件:
- 跨多个内部团队的构建
- GitHub 中的开源项目
- 特定格式的网站,例如 Maven Central 和 Docker Hub
工件管理系统通过将工件集中在一个位置来解决这些复杂性和可靠性问题。您可以更好地控制工件及其使用方式。工件代码库有以下功能:
- 充当工件的唯一可靠来源和 CI/CD 集成点。
- 提供版本管理、漏洞扫描和批准工作流等功能。
- 实现统一访问控制和一致的配置。
- 在使用工件时提供自动化的一致性。
- 支持许多用于优化组织绩效的 DevOps 功能。
CI/CD 工作流中的工件管理
工件管理是持续集成和持续交付 (CI/CD) 流水线的核心部分。Google Cloud 为软件开发提供集成式端到端服务,包括:
- Cloud Source Repositories,用于管理源代码。
- Cloud Build,用于在 Google Cloud 基础架构上运行构建和测试。
- Container Analysis,用于容器元数据管理和漏洞扫描。
- Binary Authorization,使用批准工作流实现软件供应链安全性。
- 运行时环境,包括 Compute Engine、Google Kubernetes Engine 和 Cloud Run。
- Cloud Monitoring 和 Cloud Logging,用于收集所部署应用的运行状况数据。
您可以使用所有这些服务,也可以将某些服务与现有 CI/CD 工具集成。
后续步骤
- 试用 Artifact Registry 的快速入门:
- 试用 Container Analysis 快速入门
- 试用 Binary Authorization 快速入门