Configura l'autenticazione per Helm

Questa pagina descrive come configurare Helm per l'autenticazione con i repository Artifact Registry.

Prima di iniziare

  1. Se non esiste un repository per i grafici, creane uno nuovo. Scegli Docker come formato di repository.

  2. Installa Google Cloud CLI, quindi initialize eseguendo questo comando: 

    gcloud init
  3. (Facoltativo) Configura i valori predefiniti per i comandi gcloud.

  4. Installa Helm 3.8.0 o versioni successive. Nelle versioni precedenti di Helm, il supporto per i grafici in formato OCI è una funzionalità sperimentale.

    Esegui helm version per verificare la tua versione.

Scelta di un metodo di autenticazione

Nella maggior parte dei casi, consigliamo di utilizzare un account di servizio per l'autenticazione in Artifact Registry.

Gli account di servizio per le applicazioni che in genere si integrano con Artifact Registry, come Cloud Build o Cloud Run, sono configurati per impostazione predefinita per le autorizzazioni per i repository nello stesso progetto. Per queste applicazioni non è necessario configurare l'autenticazione Docker.

Sono disponibili i seguenti metodi di autenticazione:

Utilizza le credenziali di Artifact Registry configurate per Docker
Per impostazione predefinita, Helm può eseguire l'autenticazione con le stesse credenziali che utilizzi per Docker.
Token di accesso
Le credenziali predefinite dell'applicazione forniscono i token di accesso di breve durata utilizzati da un account di servizio per accedere alle risorse Google Cloud.
File chiave JSON

Una coppia di chiavi gestita dall'utente che puoi utilizzare come credenziale per un account di servizio. Poiché la credenziale è di lunga durata, è l'opzione meno sicura tra tutti i metodi di autenticazione disponibili.

Se possibile, utilizza un token di accesso per ridurre il rischio di accessi non autorizzati ai tuoi artefatti.

Utilizzo della configurazione Docker

Per impostazione predefinita, Helm supporta le impostazioni del registro nel file di configurazione Docker config.json. Helm trova le impostazioni del Registro di sistema nella posizione predefinita o nella posizione specificata dalla variabile di ambiente DOCKER_CONFIG.

Se hai configurato Docker con un helper per le credenziali per l'autenticazione con Artifact Registry, Helm utilizza la configurazione esistente per i repository Docker di Artifact Registry.

Utilizzo di un token di accesso

I token di accesso sono token di breve durata che forniscono l'accesso alle tue risorse Google Cloud. Poiché il token ha durata breve, dovresti richiederlo meno di un'ora prima di utilizzarlo per connetterti ai repository Artifact Registry.

Google Cloud ottiene un token di accesso utilizzando le Credenziali predefinite dell'applicazione.

Per utilizzare un token di accesso:

  1. Crea un account di servizio che agisca per conto della tua applicazione oppure scegli un account di servizio esistente che utilizzi per l'automazione.

    Avrai bisogno della posizione del file della chiave dell'account di servizio per configurare l'autenticazione con Artifact Registry. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.

    Vai alla pagina Account di servizio

  2. Concedi il ruolo Artifact Registry appropriato all'account di servizio per fornire l'accesso al repository.

  3. Assegna il percorso del file della chiave dell'account di servizio alla variabile GOOGLE_APPLICATION_CREDENTIALS, in modo che l'helper per le credenziali di Artifact Registry possa ottenere la tua chiave durante la connessione ai repository.

    export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE

    Dove KEY-FILE è il percorso del file della chiave dell'account di servizio.

  4. Ottieni un token di accesso come credenziali quando esegui l'autenticazione ad Artifact Registry con Docker.

    Linux / macOS

    Esegui questo comando:

    gcloud auth application-default print-access-token | helm registry login -u oauth2accesstoken \
--password-stdin https://LOCATION-docker.pkg.dev

    Windows

    Esegui questo comando:

    gcloud auth application-default print-access-token
ya29.8QEQIfY_...

helm registry login -u oauth2accesstoken -p "ya29.8QEQIfY_..." \
https://LOCATION-docker.pkg.dev

    Dove

    • oauth2accesstoken è il nome utente da utilizzare durante l'autenticazione con un token di accesso.
    • gcloud auth application-default print-access-token è il comando gcloud per ottenere il token di accesso per l'account di servizio. Il token di accesso è la password per l'autenticazione.
    • LOCATION è la località a livello di una o più regioni del repository in cui è archiviata l'immagine.

Helm ora è autenticato con Artifact Registry.

Utilizzo di un file di chiave JSON

Chiunque abbia accesso a una chiave privata valida per un account di servizio potrà accedere alle risorse tramite l'account di servizio. Tieni presente che il ciclo di vita dell'accesso della chiave all'account di servizio (e quindi ai dati a cui ha accesso l'account di servizio) è indipendente dal ciclo di vita dell'utente che ha scaricato la chiave.

Segui queste linee guida per limitare l'accesso ai repository:

  • Creare account di servizio dedicati che vengono utilizzati solo per interagire con i repository.
  • Concedi il ruolo Artifact Registry specifico per l'accesso richiesto dall'account di servizio. Ad esempio, un account di servizio che scarica solo artefatti richiede solo il ruolo Lettore Artifact Registry.
  • Configura le autorizzazioni per i tuoi account di servizio dedicati su ciascun repository anziché a livello di progetto. Puoi quindi specificare l'accesso in base al contesto del repository. Ad esempio, un account di servizio per le build di sviluppo potrebbe avere il ruolo Lettore Artifact Registry per un repository di produzione e il ruolo Writer Artifact Registry per un repository gestione temporanea.
  • Segui le best practice per la gestione delle chiavi degli account di servizio.

Per creare un nuovo account di servizio e una chiave dell'account di servizio da utilizzare solo con i repository Artifact Registry:

  1. Crea un account di servizio che agisca per conto della tua applicazione oppure scegli un account di servizio esistente che utilizzi per l'automazione.

    Avrai bisogno della posizione del file della chiave dell'account di servizio per configurare l'autenticazione con Artifact Registry. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.

    Vai alla pagina Account di servizio

  2. Facoltativamente, puoi eseguire la codifica base64 di tutti i contenuti del file della chiave.

    Linux

    base64 FILE-NAME > NEW-FILE-NAME

    macOS

    base64 -i FILE-NAME -o NEW-FILE-NAME

    Windows

    Base64.exe -e FILE-NAME > NEW-FILE-NAME

    Dove FILE-NAME è il nome del file della chiave originale e NEW-FILE-NAME è il file della chiave con codifica Base64.

  3. Concedi il ruolo Artifact Registry appropriato all'account di servizio per fornire l'accesso al repository.

  4. Utilizza la chiave dell'account di servizio per l'autenticazione:

    Linux / macOS

    Esegui questo comando:

    cat KEY-FILE | helm registry login -u KEY-TYPE --password-stdin \
https://LOCATION-docker.pkg.dev

    Windows

    Esegui questo comando:

    helm registry login -u KEY-TYPE --password-stdin https://LOCATION-docker.pkg.dev < KEY-FILE

    Dove

    • KEY-TYPE è uno dei seguenti:
      • _json_key se utilizzi la chiave dell'account di servizio in formato JSON come fornita al momento della creazione del file.
      • _json_key_base64 se hai codificato tutti i contenuti del file con codifica Base64.
    • KEY-FILE è il nome del file della chiave dell'account di servizio in formato JSON.
    • LOCATION è la località a livello di una o più regioni del repository in cui è archiviata l'immagine.

Helm ora è autenticato con Artifact Registry.

Passaggi successivi