Mengonfigurasi notifikasi Pub/Sub

Anda dapat menerima notifikasi dari Pub/Sub untuk perubahan pada repositori Docker. Notifikasi berlaku untuk image container apa pun yang disimpan di repositori, termasuk diagram Helm 3 yang dikemas dalam format OCI.

Pub/Sub memublikasikan pesan tentang repositori Anda ke resource bernama topik. Aplikasi yang berlangganan topik Pub/Sub akan menerima pesan ini dan menerima notifikasi saat status repositori berubah.

Artifact Registry memublikasikan pesan untuk perubahan berikut:

  • Upload gambar
  • Tag baru ditambahkan ke gambar
  • Penghapusan gambar

Selain itu, Anda dapat mengonfigurasi peran dan izin untuk memublikasikan atau berlangganan notifikasi.

Untuk mengetahui informasi tentang cara mengonfigurasi notifikasi Artifact Analysis untuk aktivitas seperti hasil pemindaian kerentanan baru, lihat dokumentasi Artifact Analysis.

Ringkasan

Artifact Registry memublikasikan pesan tentang perubahan pada repositori dalam topik bernama gcr.

Untuk menerima notifikasi, Anda harus:

  1. Buat topik bernama gcr dalam project dengan Artifact Registry.
  2. Buat langganan ke topik.
  3. Siapkan aplikasi subscriber untuk menerima pesan tentang perubahan repositori.
  4. Jika sesuai, konfigurasi izin untuk mengontrol akses ke topik dan langganan Anda.

Membuat topik Artifact Registry

Untuk membuat topik gcr dengan kunci milik dan dikelola Google:

Konsol

  1. Buka halaman topik Pub/Sub di konsol Google Cloud.

    Buka halaman topik Pub/Sub

  2. Klik Buat Topik.

  3. Masukkan ID topik gcr.

  4. Klik Buat Topik.

gcloud

Jalankan perintah berikut:

gcloud pubsub topics create gcr --project=PROJECT-ID

Ganti PROJECT-ID dengan project ID Google Cloud Anda. Jika Anda menghapus flag --project, perintah akan menggunakan project saat ini.

Untuk mempelajari perintah gcloud pubsub topics lebih lanjut, lihat dokumentasi topics.

Untuk membuat topik gcr dengan enkripsi CMEK, lihat petunjuk untuk mengenkripsi topik Pub/Sub.

Setelah membuat topik gcr atau memverifikasi bahwa topik tersebut ada, Anda dapat membuat langganan ke topik tersebut.

Membuat langganan

Setelah membuat topik untuk perubahan repositori, Anda dapat mengonfigurasi langganan ke topik tersebut yang menggunakan pengiriman push atau pengiriman pull. Sebaiknya gunakan pengiriman pull karena sistem CI/CD dapat menghasilkan banyak perubahan pada artefak yang disimpan, dan pengiriman pull lebih efektif untuk pesan dalam volume besar.

Untuk membuat langganan dengan pengiriman pull:

Konsol

  1. Buka halaman topik Pub/Sub di konsol Google Cloud.

    Buka halaman topik Pub/Sub

  2. Klik topik project Anda.

  3. Klik Buat Langganan.

  4. Masukkan nama langganan:

    projects/PROJECT/subscriptions/[SUBSCRIPTION-NAME]
    

    Biarkan Delivery Type ditetapkan ke Pull.

  5. Klik Create.

gcloud

Jalankan perintah berikut:

gcloud pubsub subscriptions create SUBSCRIPTION-NAME --topic=gcr

Ganti SUBSCRIPTION-NAME dengan nama untuk langganan

Untuk mempelajari perintah gcloud pubsub subscriptions lebih lanjut, lihat dokumentasi subscriptions.

Sekarang Anda memiliki langganan untuk topik gcr. Langkah berikutnya adalah mengonfigurasi izin untuk identitas yang memicu perubahan di repositori.

Mengonfigurasi aplikasi pelanggan

Setelah membuat topik dan langganan ke topik tersebut, Anda dapat menyiapkan aplikasi pelanggan, aplikasi yang menerima pesan tentang perubahan pada repositori. Aplikasi subscriber memenuhi tugas seperti notifikasi peristiwa, logging sistem, dan komunikasi antar-aplikasi.

Saat pengguna repositori mengirim atau menghapus image, langkah-langkah berikut akan terjadi:

  1. Akun layanan Artifact Registry memublikasikan perubahan ke topik gcr Anda. Akun layanannya adalah service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com, dengan PROJECT-NUMBER adalah nomor project Google Cloud Anda. Akun layanan Artifact Registry memiliki izin pubsub.topics.publish secara default sehingga dapat memublikasikan perubahan pada topik Anda.

    Jika administrator telah mencabut izin pubsub.topics.publish untuk akun layanan Artifact Registry, Artifact Registry akan mencoba memublikasikan pesan sebagai pengguna repositori. Dalam situasi ini, akun pengguna repositori harus memiliki izin pubsub.topics.publish agar berhasil memublikasikan pesan.

  2. Pub/Sub meneruskan pesan dari topik ke langganan Anda.

  3. Saat aplikasi pelanggan Anda membuat permintaan pesan, aplikasi akan mengambil pesan baru dari langganan.

    Identitas yang mengambil pesan atas nama pelanggan harus memiliki izin untuk mengakses langganan. Anda dapat menggunakan peran Pelanggan Pub/Sub untuk memberikan izin ini.

Untuk mempelajari cara menyiapkan pelanggan agar dapat menerima pesan dari langganan dengan pengiriman pull, lihat Menerima pesan menggunakan Pull.

Mengonfigurasi izin

Anda dapat menggunakan izin Pub/Sub untuk mengontrol akses ke topik dan langganan.

Untuk informasi selengkapnya tentang izin Pub/Sub dan pemberian akses ke topik dan langganan, lihat dokumentasi kontrol akses Pub/Sub.

Contoh notifikasi

Pub/Sub mengirimkan notifikasi sebagai string berformat JSON. Tinjau contoh berikut untuk mempelajari hal yang akan terjadi saat menerima notifikasi Artifact Registry dari Pub/Sub.

Saat image dikirim ke Artifact Registry, payload pemberitahuan mungkin terlihat seperti ini:

{
  "action":"INSERT",
  "digest":"us-east1-docker.pkg.dev/my-project/my-repo/hello-world@sha256:6ec128e26cd5..."
}

Saat tag image baru dikirim ke Artifact Registry, payload pemberitahuan akan terlihat seperti ini:

{
  "action":"INSERT",
  "digest":"us-east1-docker.pkg.dev/my-project/my-repo/hello-world@sha256:6ec128e26cd5...",
  "tag":"us-east1-docker.pkg.dev/my-project/my-repo/hello-world:1.1"
}

Pesan mengidentifikasi gambar yang relevan menggunakan kunci digest atau tag.

Saat tag gambar dihapus dari Artifact Registry, payload pemberitahuan mungkin terlihat seperti ini:

{
  "action":"DELETE",
  "tag":"us-east1-docker.pkg.dev/my-project/my-repo/hello-world:1.1"
}

Pesan mungkin berisi DELETE atau INSERT sebagai nilai untuk kunci action.

Langkah selanjutnya