Configurazione delle notifiche Pub/Sub

Puoi ricevere notifiche da Pub/Sub per le modifiche a un repository Docker. Le notifiche si applicano a qualsiasi immagine container memorizzata nel repository, inclusi i grafici Helm 3 pacchettizzati in formato OCI.

Pub/Sub pubblica messaggi sui tuoi repository in risorse denominate argomenti. Le applicazioni che si abbonano agli argomenti Pub/Sub ricevono questi messaggi e notifiche quando cambia lo stato di un repository.

Artifact Registry pubblica messaggi per le seguenti modifiche:

• Caricamenti di immagini
• Nuovi tag aggiunti alle immagini
• Eliminazione di immagini

Inoltre, puoi configurare ruoli e autorizzazioni per la pubblicazione o l'iscrizione alle notifiche.

Per informazioni sulla configurazione delle notifiche di Artifact Analysis per attività come i nuovi risultati dell'analisi delle vulnerabilità, consulta la documentazione di Artifact Analysis.

Panoramica

Artifact Registry pubblica i messaggi relativi alle modifiche ai repository in un argomento denominato gcr.

Per ricevere le notifiche, devi:

1. Crea un argomento denominato gcr nel progetto con Artifact Registry.
2. Crea una sottoscrizione all'argomento.
3. Configura la tua applicazione di abbonamento per ricevere messaggi sulle modifiche al repository.
4. Se opportuno, configura le autorizzazioni per controllare l'accesso al tuo argomento e alla tua iscrizione.

Creazione dell'argomento Artifact Registry

Per creare l'argomento gcr con chiavi di proprietà e gestite da Google:

gcloud pubsub topics create gcr --project=PROJECT-ID

Per creare l'argomento gcr con crittografia CMEK, consulta le istruzioni di Pub/Sub per la crittografia degli argomenti.

Dopo aver creato l'argomento gcr o averne verificato l'esistenza, puoi creare una sottoscrizione all'argomento.

Creazione di una sottoscrizione

Dopo aver creato un argomento per le modifiche del repository, puoi configurare una sottoscrizione che utilizzi il caricamento push o il caricamento pull. Consigliamo di utilizzare il caricamento pull poiché i sistemi CI/CD possono generare numerose modifiche agli elementi archiviati e il caricamento pull è più efficace per un volume elevato di messaggi.

Per creare una sottoscrizione con invio pull:

gcloud pubsub subscriptions create SUBSCRIPTION-NAME --topic=gcr

Ora hai un abbonamento all'argomento gcr. Il passaggio successivo consiste nel configurare le autorizzazioni per le identità che attivano le modifiche nei repository.

Configurazione dell'applicazione sottoscrittore

Dopo aver creato un argomento e una sottoscrizione a quell'argomento, puoi configurare l'applicazione del sottoscrittore, ovvero l'applicazione che riceve i messaggi relativi alle modifiche ai repository. Le applicazioni degli abbonati svolgono attività come notifiche di eventi, registrazione di sistema e comunicazione tra le applicazioni.

Quando un utente di un repository esegue il push o l'eliminazione di un'immagine, vengono eseguiti i seguenti passaggi:

1. L'account di servizio Artifact Registry pubblica la modifica nell'argomento gcr. L'account di servizio è service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com, dove PROJECT-NUMBER è il numero del progetto Google Cloud. L'account di servizio Artifact Registry dispone dell'autorizzazione pubsub.topics.publish per impostazione predefinita, in modo da poter pubblicare le modifiche all'argomento.

   Se un amministratore ha revocato le autorizzazioni pubsub.topics.publish per l'account di servizio Artifact Registry, Artifact Registry tenta di pubblicare il messaggio come utente del repository. In questo caso, l'account dell'utente del repository deve disporre dell'autorizzazione pubsub.topics.publish per pubblicare correttamente il messaggio.

2. Pub/Sub inoltra il messaggio dall'argomento alla tua sottoscrizione.

3. Quando l'applicazione dell'abbonato effettua una richiesta di messaggi, estrae il nuovo messaggio dalla sottoscrizione.

   L'identità che estrae i messaggi per conto dell'abbonato deve disporre delle autorizzazioni per accedere all'abbonamento. Per concedere questa autorizzazione, puoi utilizzare il ruolo Pub/Sub Subscriber.

Per informazioni su come configurare un abbonato per ricevere messaggi da una sottoscrizione con invio pull, consulta Ricezione di messaggi utilizzando la modalità pull.

Configurazione delle autorizzazioni

Puoi utilizzare le autorizzazioni Pub/Sub per controllare l'accesso ai tuoi argomenti e alle tue iscrizioni.

Per ulteriori informazioni sulle autorizzazioni Pub/Sub e sulla concessione dell'accesso a argomenti e iscrizioni, consulta la documentazione sul controllo dell'accesso di Pub/Sub.

Esempi di notifiche

Pub/Sub invia le notifiche come stringhe in formato JSON. Esamina i seguenti esempi per sapere cosa aspettarti quando ricevi notifiche di Artifact Registry da Pub/Sub.

Quando viene eseguito il push di un'immagine in Artifact Registry, il payload della notifica potrebbe avere il seguente aspetto:

{
  "action":"INSERT",
  "digest":"us-east1-docker.pkg.dev/my-project/my-repo/hello-world@sha256:6ec128e26cd5..."
}

Quando viene eseguito il push di un nuovo tag immagine in Artifact Registry, il payload della notifica è simile al seguente:

{
  "action":"INSERT",
  "digest":"us-east1-docker.pkg.dev/my-project/my-repo/hello-world@sha256:6ec128e26cd5...",
  "tag":"us-east1-docker.pkg.dev/my-project/my-repo/hello-world:1.1"
}

Il messaggio identifica l'immagine pertinente utilizzando una chiave digest o tag.

Quando un tag immagine viene eliminato da Artifact Registry, il payload della notifica potrebbe avere il seguente aspetto:

{
  "action":"DELETE",
  "tag":"us-east1-docker.pkg.dev/my-project/my-repo/hello-world:1.1"
}

Il messaggio potrebbe contenere DELETE o INSERT come valori per la chiave action.

Passaggi successivi

• Leggi la documentazione di Pub/Sub.
• Per una spiegazione approfondita di Pub/Sub, consulta Che cos'è Pub/Sub?
• Scopri di più sui ruoli di controllo dell'accesso Pub/Sub.