Ce document explique comment configurer l'authentification auprès de Docker Hub en amont pour les dépôts distants Artifact Registry.
Nous vous recommandons de vous authentifier auprès de Docker Hub, même si vous n'utilisez car l'authentification augmente la limite du taux de téléchargement. Pour plus sur les limites de débit de téléchargement de Docker Hub, consultez Limite de débit Docker Hub. Les dépôts distants permettent d'ajouter votre nom d'utilisateur Docker Hub et un jeton d'accès personnel enregistré en tant que pour s'authentifier auprès de Docker Hub.
Dans ce document, nous partons du principe que vous avez déjà créé un fichier Docker Artifact Registry dépôt distant et un conteneur Docker Hub Google Cloud.
Pour en savoir plus sur les dépôts distants, consultez la Présentation des dépôts distants
Rôles requis
Pour obtenir les autorisations nécessaires pour configurer l'authentification auprès de Docker Hub pour les dépôts distants, demandez à votre administrateur de vous accorder le les rôles IAM suivants sur le projet:
-
Administrateur Artifact Registry (
roles/artifactregistry.admin
) -
Administrateur Secret Manager (
roles/secretmanager.admin
)
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Créer un jeton d'accès personnel Docker Hub
- Connectez-vous à Docker Hub.
- Créez un jeton d'accès personnel avec en lecture seule.
Copiez le jeton d'accès.
Enregistrez le jeton d'accès dans un fichier texte dans votre environnement local ou dans Cloud Shell.
Enregistrer votre jeton d'accès personnel dans une version secrète
- Créez un secret dans Secret Manager.
- Enregistrez votre jeton d'accès personnel Docker Hub en tant que version du secret.
Autoriser le compte de service Artifact Registry à accéder à votre secret
L'agent de service Artifact Registry agit au nom d'Artifact Registry lors des interactions avec les services Google Cloud. Pour autoriser l'agent de service à utiliser des secrets stocké dans Secret Manager, vous devez accorder à l'agent de service l'autorisation pour afficher la version de votre secret.
L'identifiant de l'agent de service est le suivant:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER est le numéro du projet du projet Google Cloud dans lequel Artifact Registry s'exécute.
Pour attribuer à l'agent de service Artifact Registry l'accesseur de secrets Secret Manager, procédez comme suit : rôle:
Console
-
Accédez à la page Secret Manager dans la console Google Cloud.
-
Sur la page Secret Manager, cochez la case située à côté du nom du secret.
-
S'il n'est pas déjà ouvert, cliquez sur Afficher le panneau d'informations pour ouvrir celui-ci.
-
Dans le panneau d'informations, cliquez sur Ajouter un compte principal.
-
Dans la zone de texte Nouveaux comptes principaux, saisissez la ou les adresses e-mail des membres à ajouter.
-
Dans la liste déroulante Sélectionner un rôle, sélectionnez Gestionnaire de secrets, puis Accesseur de secrets Secret Manager.
gcloud
$ gcloud secrets add-iam-policy-binding secret-id \
--member="member" \
--role="roles/secretmanager.secretAccessor"
Où member correspond à un membre IAM, tel qu'un utilisateur, un groupe ou un compte de service.
C#
Pour vous authentifier auprès d'Artifact Registry, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Go
Pour vous authentifier auprès d'Artifact Registry, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Java
Pour vous authentifier auprès d'Artifact Registry, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Node.js
Pour vous authentifier auprès d'Artifact Registry, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
PHP
Pour vous authentifier auprès d'Artifact Registry, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Python
Pour vous authentifier auprès d'Artifact Registry, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Ruby
Pour vous authentifier auprès d'Artifact Registry, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
API
Remarque : Contrairement aux autres exemples, ceci remplace l'ensemble de la stratégie IAM.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id:setIamPolicy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json" \
--data "{\"policy\": {\"bindings\": [{\"members\": [\"member\"], \"role\": \"roles/secretmanager.secretAccessor\"}]}}"
Pour en savoir plus sur l'octroi ou la révocation de l'accès aux secrets, consultez Gérer l'accès aux secrets
Ajouter des identifiants Docker Hub à votre dépôt distant
Pour mettre à jour votre dépôt distant avec vos identifiants Docker Hub:
Console
Ouvrez la page Dépôts de la console Google Cloud.
Dans la liste des dépôts, sélectionnez le dépôt, puis cliquez sur Modifier le dépôt
Dans la section Mode d'authentification du dépôt distant, mettez à jour ou ajoutez Votre nom d'utilisateur Docker Hub et la version du secret contenant votre Docker Hub un jeton d'accès.
CLI gcloud
Pour mettre à jour votre dépôt distant avec vos identifiants Docker Hub, exécutez la la commande suivante:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT_ID \
--location=LOCATION \
--remote-username=USERNAME \
--remote-password-secret-version=projects/SECRET_PROJECT_ID/secrets/SECRET_ID/versions/SECRET_VERSION
Remplacez les éléments suivants :
REPOSITORY
par le nom de votre instance distante Artifact Registry ; un dépôt de clés.PROJECT_ID
par l'ID de votre projet Google CloudLOCATION
avec l'emplacement régional ou multirégional emplacement du dépôt. Vous pouvez ignorer cette option si vous définissez une valeur par défaut. Afficher une liste des emplacements compatibles, exécutez la commandegcloud artifacts locations list
.USERNAME
par votre nom d'utilisateur Docker Hub.SECRET_PROJECT_ID
par l'ID de projet Projet Google Cloud dans lequel vous avez créé votre secret.SECRET_ID
par le nom que vous avez donné à votre secret.SECRET_VERSION
par la version du secret que vous avez enregistrée Jeton d'accès Docker Hub.
Vos identifiants seront utilisés la prochaine fois que le dépôt distant enverra une requête pour un artefact de la source en amont.
Étape suivante
- En savoir plus sur les dépôts Artifact Registry
- Extraire des images avec Docker
- Suivez le guide de démarrage rapide du dépôt distant Docker Hub.