Transférer et extraire des images

Cette page explique comment stocker et extraire des images de conteneur avec Docker. Il fournit également des informations sur l'extraction d'images avec l'outil crictl si vous rencontrez des problèmes dans Google Kubernetes Engine.

Pour en savoir plus sur le déploiement dans des environnements d'exécution Google Cloud, consultez Déployer sur Google Cloud

Pour découvrir comment répertorier des images, leur ajouter des tags et les supprimer, consultez la page Gérer les images.

Avant de commencer

1. Si le dépôt cible n'existe pas, créez un dépôt.
2. Vous devez au moins disposer d'un accès Rédacteur à Artifact Registry au dépôt.
3. Installez Docker si ce n'est pas encore fait.

Rôles requis

Pour obtenir les autorisations nécessaires pour transférer et extraire des images, demandez à votre administrateur de vous accorder le les rôles IAM suivants dans le dépôt:

• Extraire des images: Lecteur Artifact Registry (roles/artifactregistry.reader)
• Ajoutez des tags aux images et envoyez-les: Rédacteur Artifact Registry (roles/artifactregistry.writer)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

S'authentifier dans un dépôt

Vous devez vous authentifier auprès des dépôts chaque fois que vous utilisez Docker ou un autre client tiers avec un dépôt Docker. Cette section fournit un résumé rapide de ce dont vous aurez besoin pour vous authentifier avec succès. Pour obtenir des consultez la page Configurer l'authentification pour Docker.

Utiliser un assistant d'identification

Pour l'assistant d'identification de la gcloud CLI ou l'assistant d'identification autonome, les hôtes Artifact Registry que vous utilisez doivent figurer dans votre fichier de configuration Docker.

Artifact Registry n'ajoute pas automatiquement tous les hôtes de registre au fichier de configuration Docker. Le temps de réponse de Docker est nettement plus lent il y a un grand nombre de registres configurés. Pour réduire au maximum le nombre dans le fichier de configuration, vous ajoutez les hôtes nécessaires .

Pour vérifier quels hôtes sont configurés, exécutez la commande suivante pour afficher le contenu du fichier de configuration:

• Linux : cat ~/.docker/config.json
• Windows : cat %USERPROFILE%\.docker\config.json

La section credHelpers répertorie les hôtes Docker Artifact Registry configurés. Les noms d'hôtes se terminent par -docker.pkg.dev. L'exemple suivant montre certains hôtes configuré pour l'assistant d'identification de la gcloud CLI.

"credHelpers": {
  "asia.gcr.io": "gcloud",
  "eu.gcr.io": "gcloud",
  "gcr.io": "gcloud",
  "marketplace.gcr.io": "gcloud",
  "northamerica-northeast1-docker.pkg.dev": "gcloud",
  "us-central1-docker.pkg.dev": "gcloud",
  "us-east1-docker.pkg.dev": "gcloud",
  "us.gcr.io": "gcloud"
}

Si un hôte que vous souhaitez utiliser ne figure pas dans la liste, exécutez à nouveau l'assistant d'identification. pour ajouter l'hôte. Par exemple, la commande suivante ajoute us-west1-docker.pkg.dev

• Assistant d'identification de la gcloud CLI:

  gcloud auth configure-docker us-west1-docker.pkg.dev
  

• Assistant d'identification autonome

  docker-credential-gcr configure-docker us-west1-docker.pkg.dev
  

Un jeton d'accès

Pour l'authentification par jeton d'accès, vous devez générer un jeton et l'utiliser comme mot de passe à l'aide de la commande docker login. Les jetons étant valides pendant 60 minutes, vous doit s'authentifier peu de temps avant d'ajouter des tags, de transférer ou d'extraire des images.

L'exemple suivant génère un jeton d'accès à l'aide de l'emprunt d'identité d'un compte de service, puis s'authentifie auprès d'Artifact Registry. Vous devez disposer des autorisations du rôle Créateur de jetons du compte de service ; (roles/iam.serviceAccountTokenCreator) pour générer un jeton de cette manière.

gcloud auth print-access-token \
  --impersonate-service-account  ACCOUNT | docker login \
  -u oauth2accesstoken \
  --password-stdin https://LOCATION-docker.pkg.dev

gcloud auth print-access-token \
--impersonate-service-account  ACCOUNT

ya29.8QEQIfY_...

docker login -u oauth2accesstoken -p "ya29.8QEQIfY_..." \
https://LOCATION-docker.pkg.dev

Si vous ne disposez pas des autorisations nécessaires pour emprunter l'identité d'un compte de service, vous pouvez activez le compte de service dans votre session gcloud CLI, puis obtenez un jeton. Pour plus de détails, consultez les instructions pour configurer un jeton d'accès. l'authentification unique.

Utiliser une clé de compte de service

Pour une clé de compte de service, utilisez-la comme mot de passe avec l'docker login .

Par exemple, la commande suivante utilise la clé de compte de service encodée en base64 dans le fichier key.json pour s'authentifier auprès de us-west1-docker.pkg.dev.

cat key.json | docker login -u _json_key_base64 --password-stdin \
https://us-west1-docker.pkg.dev

docker login -u _json_key_base64 --password-stdin https://us-west1-docker.pkg.dev < key.json

Pour en savoir plus, consultez les instructions pour configurer l'authentification par clé de compte de service.

Transférer une image

Modes de dépôt:standard

Pour transférer une image locale vers un dépôt Docker standard, ajoutez-lui un tag correspondant au nom du dépôt avant de la transférer.

Si l'immuabilité des tags est activée dans votre dépôt Docker Artifact Registry, un tag doit toujours référencer le même condensé d'image dans le dépôt. Vous ne pouvez pas utilisez le tag sur une autre version de l'image que vous transférez à la un dépôt de clés. En savoir plus sur les condensés d'images, les tags et les tags Immuabilité, consultez la section Versions d'images de conteneur.

Pour les images volumineuses, les limites suivantes s'appliquent:

Heure d'importation

Si vous vous authentifiez auprès d'Artifact Registry avec un jeton d'accès, le jeton n'est valide que pendant 60 minutes. Si vous pensez que le temps d'importation dépassera 60 minutes, Utilisez une autre méthode d'authentification.

Taille d'image

La taille maximale de l'artefact est de 5 To.

Artifact Registry n'est pas compatible avec les importations fragmentées de Docker. Certains outils permettent d'importer des images volumineuses par le biais d'importations fragmentées ou d'une seule importation monolithique. Vous devez utiliser des importations monolithiques pour transférer des images vers Artifact Registry.

Ajouter des tags à l'image locale

1. Assurez-vous d'être authentifié auprès du dépôt.

2. Déterminez le nom de l'image. Le format d'un nom d'image complet est le suivant:

   LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE
   

   Remplacez les valeurs suivantes :

   • LOCATION est le régional ou multirégional emplacement du dépôt où l'image sont stockées.

   • PROJECT-ID est l'ID du projet dans la console Google Cloud. Si l'ID du projet contient le signe deux-points (":"), consultez la section Projets à l'échelle du domaine.

   • REPOSITORY est le nom du dépôt où l'image est stockée.

   • IMAGE correspond au nom de l'image. Il peut être différent du nom local de l'image.

   Prenons l'exemple d'une image présentant les caractéristiques suivantes :

   • Emplacement du dépôt : us-west1
   • Nom du dépôt : my-repo
   • ID du projet : my-project
   • Nom de l'image locale : my-image
   • Nom de l'image cible : test-image

   Le nom de l'image pour cet exemple est :

   us-west1-docker.pkg.dev/my-project/my-repo/test-image
   

   Pour en savoir plus sur le format du nom d'image, y compris la gestion des projets à l'échelle du domaine, consultez la section Noms de dépôts et d'images.

3. Ajoutez à l'image locale un tag correspondant au nom du dépôt.

   docker tag SOURCE-IMAGE LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG
   

   Remplacez SOURCE-IMAGE par le nom ou l'ID de l'image locale. TAG par le tag. Si vous ne spécifiez pas de tag, Docker applique le balise latest par défaut.

   Si le paramètre des tags d'image immuables est activé, les tags doivent être uniques pour chaque version d'image, y compris le tag latest. Vous ne pouvez pas transférer une image vers dans le dépôt si le tag est déjà utilisé par une autre version du même dans le dépôt. Pour vérifier si le paramètre est activé pour la exécutez la commande suivante:

   gcloud artifacts repositories describe REPOSITORY \
       --project=PROJECT-ID \
       --location=LOCATION
   

   Pour l'image d'exemple de l'étape précédente, vous devez utiliser la commande suivante si l'image locale my-image se trouve dans le répertoire actuel :

   docker tag my-image us-west1-docker.pkg.dev/my-project/my-repo/test-image
   

   Si vous souhaitez appliquer un tag spécifique, utilisez la commande suivante :

   docker tag SOURCE-IMAGE LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG
   

   Pour utiliser le tag staging avec l'image de l'exemple, vous devez ajouter :staging à la commande :

   docker tag my-image us-west1-docker.pkg.dev/my-project/my-repo/test-image:staging
   

Transférer l'image taguée vers Artifact Registry

1. Assurez-vous d'être authentifié auprès du dépôt.

   Si vous avez utilisé gcloud auth configure-docker ou docker-credential-gcr configure-docker pour configurer votre client Docker Vérifiez que le nom d'hôte cible figure dans le fichier de configuration Docker.

2. Transférez l'image taguée à l'aide de la commande suivante :

   docker push LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE
   

   Cette commande transfère l'image qui possède le tag latest. Si vous souhaitez transférer une image avec un autre tag, exécutez la commande suivante :

   docker push LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG
   

Lorsque vous transférez une image, elle est stockée dans le dépôt spécifié.

Après avoir transféré votre image, vous pouvez effectuer les opérations suivantes :

• Accédez à la console Google Cloud pour afficher les l'image.

• Exécutez la commande gcloud pour afficher les tags de l'image et le condensé généré automatiquement :

  gcloud artifacts docker images list \
  LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE [--include-tags]
  

  L'exemple de résultat suivant montre des condensés d'images tronqués, mais la commande renvoie toujours le condensé complet de l'image.

   IMAGE                                                 DIGEST         CREATE_TIME          UPDATE_TIME
    us-west1-docker.pkg.dev/my-project/my-repo/my-image  sha256:85f...  2019-04-10T15:08:45  2019-04-10T15:08:45
    us-west1-docker.pkg.dev/my-project/my-repo/my-image  sha256:238...  2019-04-10T17:23:53  2019-04-10T17:23:53
    us-west1-docker.pkg.dev/my-project/my-repo/my-image  sha256:85f...  2019-04-10T15:08:46  2019-04-10T15:08:46
  

Extraire des images avec Docker

Modes de dépôt:standard, distant, virtuel

1. Assurez-vous d'être authentifié auprès du dépôt.

   Si vous avez utilisé gcloud auth configure-docker ou docker-credential-gcr configure-docker pour configurer votre client Docker Vérifiez que le nom d'hôte cible figure dans le fichier de configuration Docker.

2. Pour extraire des images d'un dépôt, exécutez la commande suivante :

   docker pull LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG
   

   ou

   docker pull LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE@IMAGE-DIGEST
   

   Remplacez les valeurs suivantes :

   • LOCATION est le régional ou multirégional emplacement du dépôt où l'image sont stockées.
   • PROJECT est votre console Google Cloud. ID du projet. Si l'ID du projet contient le signe deux-points (":"), consultez la section Projets à l'échelle du domaine.
   • REPOSITORY est le nom du dépôt où l'image est stockée.
   • IMAGE est le nom de l'image dans le dépôt.
   • TAG est le tag de la version de l'image que vous souhaitez extraire.
   • IMAGE-DIGEST est la valeur de hachage sha256 du contenu de l'image. Chaque version d'une image possède un condensé d'image unique. Dans la console Google Cloud, cliquer sur une image spécifique pour afficher ses métadonnées. Le condensé y apparaît sous l'intitulé Condensé de l'image.

   Prenons l'exemple d'une image présentant les caractéristiques suivantes :

   • Emplacement du dépôt : us-west1
   • Nom du dépôt : my-repo
   • ID du projet : my-project
   • Nom de l'image : test-image
   • Tag : staging

   L'image permettant d'extraire l'image est la suivante :

   docker pull us-west1-docker.pkg.dev/my-project/my-repo/test-image:staging
   

Docker télécharge l'image spécifiée.

Si vous demandez une image à partir d'un dépôt distant, télécharge et met en cache l'image à partir de la source en amont si aucune copie en cache ne existent.

Si vous demandez une image à partir d'un dépôt virtuel, Artifact Registry recherche l'image demandée dans les dépôts en amont. Si vous demandez un disponible dans plusieurs dépôts en amont, Artifact Registry choisit un dépôt en amont à utiliser en fonction du et les paramètres de priorité configurés pour le dépôt virtuel.

Prenons l'exemple d'un dépôt virtuel avec les paramètres de priorité suivants : pour les dépôts en amont:

• main-repo: priorité définie sur 100
• secondary-repo1: priorité définie sur 80.
• secondary-repo2: priorité définie sur 80.
• test-repo : priorité définie sur 20.

main-repo ayant la valeur de priorité la plus élevée, le dépôt virtuel la recherche toujours en premier.

La priorité de secondary-repo1 et de secondary-repo2 est définie sur 80. Si un l'image demandée n'est pas disponible dans main-repo, Artifact Registry effectue une recherche dans ces dépôts. Étant donné qu'ils ont tous les deux la même valeur de priorité, Artifact Registry peut choisir de diffuser une image à partir de l'un ou l'autre des dépôts si la version est disponible dans les deux.

test-repo a la valeur de priorité la plus basse et diffusera un artefact stocké si aucun des autres dépôts en amont ne le possède.

Extraire des images avec crictl

crictl est un outil de ligne de commande utile aux développeurs d'environnement d'exécution CRI pour déboguer leur environnement d'exécution sans avoir à configurer les composants Kubernetes. Si votre Les nœuds Google Kubernetes Engine utilisent un environnement d'exécution containerd, d'où vous pouvez extraire des images Artifact Registry avec crictl

Étant donné que crictl est principalement un outil de dépannage, certaines commandes Docker telles que le transfert ou le taggage d'images ne sont pas disponibles.

Pour extraire une image d'Artifact Registry:

1. Dans Google Cloud Console, accédez à la page Instances de VM.

   Accéder à la page "Instances de VM"

2. Connectez-vous en SSH le nœud que vous dépannez.

3. Obtenez un jeton d'accès pour l'authentification auprès du dépôt.

   curl -s "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" -H "Metadata-Flavor: Google"

4. Extrayez l'image à l'aide de crictl pull --creds et de la valeur access_token.

   crictl pull --creds "oauth2accesstoken:ACCESS_TOKEN" LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

   ou

   crictl pull --creds "oauth2accesstoken:ACCESS_TOKEN" LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE@IMAGE-DIGEST

   La sortie ressemble à ceci :

   Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5

Étape suivante

• Découvrez comment gérer les tags et supprimer des images.
• Si vous souhaitez exécuter des conteneurs sur Compute Engine, familiarisez-vous avec les conteneurs sur Compute Engine.
• Utilisez crictl pour déboguer les nœuds Kubernetes
• Apprenez à utiliser crictl pour extraire des images d'Artifact Registry privé des dépôts
• En savoir plus sur la configuration des registres d'images crictl