In diesem Dokument wird beschrieben, wie Sie die Authentifizierung bei vorgelagerten Docker Hub-Repositories für Artifact Registry-Remote-Repositories konfigurieren.
Wir empfehlen, sich bei Docker Hub zu authentifizieren, auch wenn Sie nur öffentliche Images verwenden, da durch die Authentifizierung Ihr Downloadratenlimit erhöht wird. Weitere Informationen zu den Limits für die Docker Hub-Downloadgeschwindigkeit finden Sie unter Docker Hub-Ratenlimit. Mit Remote-Repositories können Sie Ihren Docker Hub-Nutzernamen und ein persönliches Zugriffstoken hinzufügen, das als Secret zur Authentifizierung bei Docker Hub gespeichert ist.
In diesem Dokument wird davon ausgegangen, dass Sie bereits ein Remote-Repository für Artifact Registry-Docker und ein Docker Hub-Konto erstellt haben.
Weitere Informationen zu Remote-Repositories finden Sie in der Übersicht zu Remote-Repositories.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Authentifizierung bei Docker Hub für Remote-Repositories benötigen:
-
Artifact Registry-Administrator (
roles/artifactregistry.admin
) -
Secret Manager-Administrator (
roles/secretmanager.admin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Persönliches Docker Hub-Zugriffstoken erstellen
- Melden Sie sich in Docker Hub an.
- Erstellen Sie ein persönliches Zugriffstoken mit schreibgeschützten Berechtigungen.
Kopieren Sie das Zugriffstoken.
Speichern Sie das Zugriffstoken in einer Textdatei in Ihrer lokalen Anwendung oder in Cloud Shell.
Persönliches Zugriffstoken in einer Secret-Version speichern
- Erstellen Sie ein Secret in Secret Manager.
- Speichern Sie das persönliche Zugriffstoken für Docker Hub als Secret-Version.
Artifact Registry-Dienstkonto Zugriff auf Ihr Secret gewähren
Der Artifact Registry-Dienst-Agent handelt im Namen von Artifact Registry, wenn er mit Google Cloud-Diensten interagiert. Damit der Dienst-Agent die in Secret Manager gespeicherten Secrets verwenden kann, müssen Sie dem Dienst-Agent die Berechtigung zum Aufrufen Ihrer Secret-Version erteilen.
Die Dienst-Agent-ID lautet:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER ist die Projektnummer des Google Cloud-Projekts, in dem Artifact Registry ausgeführt wird.
So gewähren Sie dem Artifact Registry-Dienst-Agent die Rolle Zugriffsfunktion für Secret Manager-Secret:
Console
-
Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.
-
Klicken Sie auf der Seite Secret Manager auf das Kästchen neben dem Namen des Secrets.
-
Falls das Fenster noch nicht geöffnet ist, klicken Sie auf Infofeld ansehen, um es zu öffnen.
-
Klicken Sie im Infofeld auf Hauptkonto hinzufügen.
-
Geben Sie im Textbereich Neue Hauptkonten die E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten.
-
Wählen Sie im Drop-down-Menü Rolle auswählen die Option Secret Manager und dann Zugriffsfunktion für Secret Manager-Secret aus.
gcloud
$ gcloud secrets add-iam-policy-binding secret-id \
--member="member" \
--role="roles/secretmanager.secretAccessor"
Dabei ist member ein IAM-Mitglied, z. B. ein Nutzer, eine Gruppe oder ein Dienstkonto.
C#
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei Artifact Registry zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei Artifact Registry zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei Artifact Registry zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei Artifact Registry zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei Artifact Registry zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei Artifact Registry zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Ruby
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei Artifact Registry zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
API
Hinweis: Im Gegensatz zu den anderen Beispielen wird dadurch die gesamte IAM-Richtlinie ersetzt.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id:setIamPolicy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json" \
--data "{\"policy\": {\"bindings\": [{\"members\": [\"member\"], \"role\": \"roles/secretmanager.secretAccessor\"}]}}"
Weitere Informationen zum Gewähren oder Entziehen des Zugriffs auf Secrets finden Sie unter Zugriff auf Secrets verwalten.
Docker Hub-Anmeldedaten zum Remote-Repository hinzufügen
So aktualisieren Sie Ihr Remote-Repository mit Ihren Docker Hub-Anmeldedaten:
Console
Öffnen Sie in der Cloud Console die Seite Repositories.
Wählen Sie das Repository aus der Repository-Liste aus und klicken Sie auf Repository bearbeiten.
Aktualisieren Sie im Abschnitt Remote-Repository-Authentifizierungsmodus Ihren Docker Hub-Nutzernamen und die Secret-Version, die Ihr Docker Hub-Zugriffstoken enthält.
gcloud-CLI
Führen Sie den folgenden Befehl aus, um Ihr Remote-Repository mit Ihren Docker Hub-Anmeldedaten zu aktualisieren:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT_ID \
--location=LOCATION \
--remote-username=USERNAME \
--remote-password-secret-version=projects/SECRET_PROJECT_ID/secrets/SECRET_ID/versions/SECRET_VERSION
Ersetzen Sie Folgendes:
REPOSITORY
durch den Namen Ihres Artifact Registry-Remote-Repositorys.PROJECT_ID
durch Ihre Google Cloud-Projekt-ID.LOCATION
durch den regionalen oder multiregionalen Standort für das Repository. Sie können dieses Flag weglassen, wenn Sie einen Standard-Speicherort festgelegt haben. Führen Sie den Befehlgcloud artifacts locations list
aus, um eine Liste der unterstützten Standorte aufzurufen.USERNAME
durch Ihren Docker Hub-Nutzernamen.SECRET_PROJECT_ID
durch die Projekt-ID des Google Cloud-Projekts, in dem Sie Ihr Secret erstellt haben.SECRET_ID
durch den Namen, den Sie Ihrem Secret gegeben haben.SECRET_VERSION
durch die Secret-Version, in der Sie Ihr Docker Hub-Zugriffstoken gespeichert haben.
Ihre Anmeldedaten werden verwendet, wenn das Remote-Repository das nächste Mal eine Anfrage für ein Artefakt aus der Upstream-Quelle sendet.
Nächste Schritte
- Weitere Informationen zu Artifact Registry-Repositories
- Images mit Docker abrufen
- quickstart zum Remote-Repository für Docker Hub