Neste guia, descrevemos como extrair imagens do Artifact Registry para implantar no Google Kubernetes Engine. Se você quiser implantar em serviços do Kubernetes auto-hospedados ou de terceiros, configure a autenticação no Google Cloud antes de extrair imagens do Artifact Registry. Para autenticar no Google Cloud usando cargas de trabalho do Kubernetes fora do Google Cloud, consulte Configurar a federação de identidade da carga de trabalho com o Kubernetes.
O Google Kubernetes Engine pode extrair imagens diretamente dos repositórios do Docker. Algumas versões incluem suporte pré-configurado para extrair imagens de repositórios Docker do Artifact Registry.
Requisitos
Nesta seção, descrevemos os requisitos para integração com o GKE.
Permissões
O GKE usa os seguintes padrões quando você cria pools de nós ou clusters:
- A conta de serviço padrão do Compute Engine é a identidade dos nós.
Essa conta de serviço padrão tem o papel Leitor do Artifact Registry
(
roles/artifactregistry.reader) se você tiver desativado a concessão do papel básico de Editor. - Os nós criados com a conta de serviço padrão têm os escopos de acesso padrão do Compute Engine, incluindo acesso somente leitura ao armazenamento. Não é possível alterar os escopos de acesso nos nós atuais.
Se você usar esses padrões, o GKE poderá extrair imagens dos repositórios do Artifact Registry no mesmo projeto do Google Cloud. Se você precisar enviar imagens de nós, extrair ou enviar imagens entre projetos, usar uma conta de serviço fornecida pelo usuário ou tiver outras necessidades não compatíveis com as configurações padrão, consulte a documentação de controle de acesso para informações sobre como configurar o acesso.
Se você encontrar erros de "permissão negada", consulte Erro de permissão negada.
Versão GKE
A tabela a seguir lista as versões mínimas necessárias do GKE para criar clusters com permissões padrão para extrair contêineres dos repositórios do Docker no mesmo projeto.
| Versão | Patch mínimo necessário |
|---|---|
| 1,14 | 1.14.10-gke.22 |
| 1.15 | 1.15.9-gke.8 |
Se sua versão do GKE for anterior à versão mínima, você precisará configurar imagePullSecrets do Kubernetes para permitir que o GKE extraia imagens.
Se o GKE estiver em um projeto diferente do Artifact Registry, conceda permissões do Artifact Registry à conta de serviço que seu nó do GKE usa. Por padrão, os nós usam a conta de serviço padrão do Compute Engine.
Como executar uma imagem
É possível executar uma imagem do Artifact Registry em um cluster do Google Kubernetes Engine usando o comando a seguir:
kubectl run [NAME] --image=LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG
onde:
- LOCATION é o local regional ou multirregional do repositório.
- PROJECT é o ID do projeto
do console do Google Cloud.
Caso o ID do projeto contenha dois pontos (
:), consulte Projetos com escopo de domínio. - REPOSITORY é o nome do repositório em que a imagem está armazenada.
- IMAGE é o nome da imagem no repositório.
- TAG é a tag da versão de imagem que você quer extrair.
Para mais informações sobre os comandos do Kubernetes, consulte Visão geral do kubectl (em inglês).
Solução de problemas de imagens de nó do containerd
A partir da versão 1.19 do nó do GKE, a imagem de nó padrão
para nós do Linux é o Container-Optimized OS com a variante containerd
(cos_containerd), em vez da variante do Container-Optimized OS com
Docker (cos).
Embora o binário do Docker esteja disponível em nós do Linux que usam o containerd como ambiente de execução, não recomendamos usá-lo. O Docker não gerencia os contêineres que o Kubernetes executa em nós do containerd. Portanto, não é possível usá-lo para visualizar ou interagir com a execução de contêineres do Kubernetes usando comandos do Docker ou a API Docker.
Para depurar o nó ou solucionar problemas dele no Linux, use o
containerd na ferramenta de linha de comando portátil crictl, criada para os ambientes de execução de contêiner do
Kubernetes. O crictl é compatível com funcionalidades comuns para visualizar contêineres
e imagens, ler registros e executar comandos nos contêineres.
Para mais informações, consulte o guia do usuário básico e a documentação do GKE sobre o containerd.
Para os nós do Windows Server, o daemon do containerd é executado como um serviço do Windows
chamado containerd. Os registros estão disponíveis no seguinte diretório de registros:
C:\etc\kubernetes\logs\containerd.log e são exibidos no Explorador de registros
em LOG NAME: "container-runtime".
Extrair de um repositório público do Artifact Registry
Depois de implantar e imagem em um cluster do GKE com nós containerd, conecte-se a uma instância de VM usando SSH e execute comandos crictl
para solucionar problemas.
Os repositórios públicos do Artifact Registry não exigem autenticação. O crictl
também pode ser usado para extrair imagens em repositórios particulares do Artifact Registry.
Console
No Console do Google Cloud, acesse a página Instâncias de VMs.
Na lista de instâncias de máquina virtual, clique na seta ao lado de SSH na linha da instância à qual você quer se conectar.
Selecione "Abrir na janela do navegador" ou o método de conexão de sua escolha nas opções do menu suspenso.
O console do Google Cloud abre uma nova janela de terminal. Use
crictlpara extrair uma imagem do Artifact Registry:crictl pull IMAGE_LOCATION:TAG
A saída será assim:
Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5
Ao extrair uma imagem de um repositório particular do Artifact Registry, é preciso fazer a autenticação no repositório. É possível usar um token de acesso para fornecer suas credenciais.
gcloud
Verifique se você tem a versão mais recente da Google Cloud CLI
gcloud components update
Conecte-se à VM:
gcloud compute ssh --project=PROJECT_ID \ --zone=ZONE \ VM_NAME
Substitua:
PROJECT_ID: o ID do projeto que contém a VM.ZONE: o nome da zona em que a VM está localizadaVM_NAME: O nome da VM.
Se você tiver definido as propriedades padrão para a Google Cloud CLI, poderá omitir as sinalizações
--projecte--zonedesse comando. Exemplo:gcloud compute ssh VM_NAME
Se você ainda não criou uma chave SSH, o keygen SSH vai gerar uma para você. Digite uma senha longa ou deixe em branco quando solicitado.
Use
crictlpara extrair uma imagem do Artifact Registry:crictl pull IMAGE_LOCATION:TAG
A saída será assim:
Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5
Ao extrair uma imagem de um repositório particular do Artifact Registry, é preciso fazer a autenticação no repositório. É possível usar um token de acesso para fornecer suas credenciais.
Extrair de um repositório particular do Artifact Registry
Console
No Console do Google Cloud, acesse a página Instâncias de VMs.
Na lista de instâncias de máquina virtual, clique na seta ao lado de SSH na linha da instância à qual você quer se conectar.
Selecione "Abrir na janela do navegador" nas opções do menu suspenso.
O console do Google Cloud abre uma nova janela de terminal. Gere um token de acesso à conta de serviço do Compute Engine usando
curl.curl -s "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" -H "Metadata-Flavor: Google"
A resposta tem a aparência do exemplo a seguir.
"access_token":"ya29.c.KpkBCQgdwv6LrZ2tjrCpG6snWwPMX29LzMeUmAV_Hq_XaxUurfXcCfGZfASGh_KbdmUYTvkuV3sh-WaSBplEskdP6Tc HDsTv4B9hMyvoL4M9HrzKHuKTa1ZGj_3iQ1lwq_dAMxAPGjxEVKexatwN2KP0EAWyb6R55Cuu8ItgLf9f4pm9lC5zH4Qo0fkxPUsnCGRBe4AYxEpN6T sh","expires_in":3526,"token_type":"Bearer"}
Copie o valor de
access_tokenda saída retornada sem as aspas.Extraia a imagem usando
crictl pull --credse o valoraccess_tokencopiado na etapa anterior.crictl pull --creds "oauth2accesstoken:ACCESS_TOKEN" IMAGE_LOCATION:TAG
A saída será assim:
Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5
gcloud
Verifique se você tem a versão mais recente da Google Cloud CLI
gcloud components update
Conecte-se à VM:
gcloud compute ssh --project=PROJECT_ID \ --zone=ZONE \ VM_NAME
Substitua as seguintes variáveis:
PROJECT_ID: o ID do projeto que contém a VM.ZONE: o nome da zona em que a VM está localizadaVM_NAME: O nome da VM.
Se você tiver definido as propriedades padrão para a Google Cloud CLI, poderá omitir as sinalizações
--projecte--zonedesse comando. Exemplo:gcloud compute ssh VM_NAME
Se você ainda não criou uma chave SSH, o keygen SSH vai gerar uma para você. Digite uma senha longa ou deixe em branco quando solicitado.
Gere um token de acesso à conta de serviço do Compute Engine usando
curl.curl -s "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" -H "Metadata-Flavor: Google"
A saída será assim:
"access_token":"ya29.c.KpkBCQgdwv6LrZ2tjrCpG6snWwPMX29LzMeUmAV_Hq_XaxUurfXcCfGZfASGh_KbdmUYTvkuV3sh-WaSBplEskdP6Tc HDsTv4B9hMyvoL4M9HrzKHuKTa1ZGj_3iQ1lwq_dAMxAPGjxEVKexatwN2KP0EAWyb6R55Cuu8ItgLf9f4pm9lC5zH4Qo0fkxPUsnCGRBe4AYxEpN6T sh","expires_in":3526,"token_type":"Bearer"}
Copie o valor de
access_tokenda saída retornada sem as aspas.Extraia a imagem usando
crictl pull --credse o valoraccess_tokencopiado na etapa anterior.crictl pull --creds "oauth2accesstoken:ACCESS_TOKEN" IMAGE_LOCATION:TAG
A saída será assim:
Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5
O crictl permite que os desenvolvedores depurem o ambiente de execução sem precisar configurar
componentes do Kubernetes. Para ver uma lista completa de comandos, consulte os documentos crictl e documentos de depuração do Kubernetes (links em inglês).