Mendorong dan menarik gambar

Halaman ini menjelaskan cara mengirim dan mengambil image container dengan Docker. Halaman ini juga menyediakan informasi tentang cara mengambil image dengan alat crictl jika Anda memecahkan masalah di Google Kubernetes Engine.

Untuk informasi tentang cara men-deploy ke lingkungan runtime Google Cloud, lihat Men-deploy ke Google Cloud.

Untuk petunjuk tentang cara membuat daftar, memberi tag, dan menghapus gambar, lihat Mengelola gambar.

Sebelum memulai

  1. Jika repositori target tidak ada, buat repositori baru.
  2. Anda harus memiliki setidaknya akses Artifact Registry Writer ke repositori.
  3. Instal Docker jika belum diinstal.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk mendorong dan menarik image, minta administrator untuk memberi Anda peran IAM berikut di repositori:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengautentikasi ke repositori

Anda harus melakukan autentikasi ke repositori setiap kali menggunakan Docker atau klien pihak ketiga lainnya dengan repositori Docker. Bagian ini memberikan ringkasan cepat tentang hal-hal yang diperlukan untuk berhasil melakukan autentikasi. Untuk petunjuk mendetail, lihat Menyiapkan autentikasi untuk Docker.

Menggunakan helper kredensial

Untuk helper kredensial gcloud CLI atau helper kredensial mandiri, host Artifact Registry yang Anda gunakan harus ada dalam file konfigurasi Docker.

Artifact Registry tidak otomatis menambahkan semua host registry ke file konfigurasi Docker. Waktu respons Docker menjadi jauh lebih lambat saat ada banyak registry yang dikonfigurasi. Untuk meminimalkan jumlah registri dalam file konfigurasi, Anda menambahkan host yang diperlukan ke file.

Untuk mengonfirmasi host mana yang dikonfigurasi, jalankan perintah berikut untuk menampilkan isi file konfigurasi:

  • Linux: cat ~/.docker/config.json
  • Windows: cat %USERPROFILE%\.docker\config.json

Bagian credHelpers mencantumkan host Docker Artifact Registry yang dikonfigurasi. Nama host diakhiri dengan -docker.pkg.dev. Contoh berikut menunjukkan beberapa host yang dikonfigurasi untuk helper kredensial gcloud CLI.

"credHelpers": {
  "asia.gcr.io": "gcloud",
  "eu.gcr.io": "gcloud",
  "gcr.io": "gcloud",
  "marketplace.gcr.io": "gcloud",
  "northamerica-northeast1-docker.pkg.dev": "gcloud",
  "us-central1-docker.pkg.dev": "gcloud",
  "us-east1-docker.pkg.dev": "gcloud",
  "us.gcr.io": "gcloud"
}

Jika host yang ingin Anda gunakan tidak ada dalam daftar, jalankan helper kredensial lagi untuk menambahkan host. Misalnya, perintah berikut akan menambahkan us-west1-docker.pkg.dev.

  • Helper kredensial gcloud CLI:

    gcloud auth configure-docker us-west1-docker.pkg.dev

  • Helper kredensial mandiri

    docker-credential-gcr configure-docker us-west1-docker.pkg.dev

Menggunakan token akses

Untuk autentikasi token akses, Anda membuat token dan menggunakannya sebagai sandi dengan perintah docker login. Token berlaku selama 60 menit, jadi Anda harus mengautentikasi sesaat sebelum memberi tag, mendorong, atau menarik gambar.

Contoh berikut menghasilkan token akses menggunakan peniruan identitas akun layanan, lalu melakukan autentikasi ke Artifact Registry. Anda harus memiliki izin dalam peran Pembuat Token Akun Layanan (roles/iam.serviceAccountTokenCreator) untuk membuat token dengan cara ini.

Linux

gcloud auth print-access-token \
  --impersonate-service-account  ACCOUNT | docker login \
  -u oauth2accesstoken \
  --password-stdin https://LOCATION-docker.pkg.dev

Windows

gcloud auth print-access-token \
--impersonate-service-account  ACCOUNT

ya29.8QEQIfY_...

docker login -u oauth2accesstoken -p "ya29.8QEQIfY_..." \
https://LOCATION-docker.pkg.dev

Jika tidak memiliki izin untuk meniru identitas akun layanan, Anda dapat mengaktifkan akun layanan di sesi gcloud CLI, lalu mendapatkan token. Untuk mengetahui detailnya, lihat petunjuk untuk menyiapkan autentikasi token akses.

Menggunakan kunci akun layanan

Untuk kunci akun layanan, Anda menggunakan kunci sebagai sandi dengan perintah docker login.

Misalnya, perintah berikut menggunakan kunci akun layanan yang dienkode base64 dalam file key.json untuk melakukan autentikasi ke us-west1-docker.pkg.dev.

Linux

cat key.json | docker login -u _json_key_base64 --password-stdin \
https://us-west1-docker.pkg.dev

Windows

docker login -u _json_key_base64 --password-stdin https://us-west1-docker.pkg.dev < key.json

Untuk mengetahui detailnya, lihat petunjuk untuk menyiapkan autentikasi kunci akun layanan.

Mengirim image

Mode repositori: standar

Untuk mengirim image lokal ke repositori Docker standar, Anda harus memberi tag pada image dengan nama repositori, lalu mengirim image.

Jika repositori Docker Artifact Registry Anda mengaktifkan immutability tag, tag harus selalu mereferensikan ringkasan image yang sama di repositori. Anda tidak dapat menggunakan tag pada versi lain dari gambar yang sama yang Anda kirim ke repositori. Untuk mengetahui informasi selengkapnya tentang ringkasan image, tag, dan ketidakmutlakan tag, lihat Versi image container.

Untuk gambar besar, batasan berikut berlaku:

Waktu upload
Jika Anda mengautentikasi ke Artifact Registry menggunakan token akses, token tersebut hanya valid selama 60 menit. Jika Anda memperkirakan waktu upload akan melebihi 60 menit, gunakan metode autentikasi yang berbeda.
Ukuran gambar
Ukuran artefak maksimum adalah 5 TB.
Artifact Registry tidak mendukung upload terpisah Docker. Beberapa alat mendukung upload gambar besar dengan upload terpisah atau satu upload monolitik. Anda harus menggunakan upload monolitik untuk mengirim image ke Artifact Registry.

Memberi tag pada gambar lokal

  1. Pastikan Anda diautentikasi ke repositori.

  2. Tentukan nama image. Format nama gambar lengkap adalah:

    LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE

    Ganti nilai berikut:

    • LOCATION adalah lokasi regional atau multi-regional repositori tempat image disimpan.
    • PROJECT-ID adalah project ID Konsol Google Cloud Anda. Jika project ID Anda berisi titik dua (:), lihat Project cakupan domain.
    • REPOSITORY adalah nama repositori tempat gambar disimpan.
    • IMAGE adalah nama image. Nama ini dapat berbeda dengan nama lokal gambar.

    Misalnya, pertimbangkan gambar dengan karakteristik berikut:

    • Lokasi repositori: us-west1
    • Nama repositori: my-repo
    • Project ID: my-project
    • Nama gambar lokal: my-image
    • Nama gambar target: test-image

    Nama gambar untuk contoh ini adalah:

    us-west1-docker.pkg.dev/my-project/my-repo/test-image

    Untuk mengetahui detail tentang format nama image, termasuk menangani project cakupan domain, lihat Nama repositori dan image.

  3. Beri tag pada image lokal dengan nama repositori.

    docker tag SOURCE-IMAGE LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

    Ganti SOURCE-IMAGE dengan nama image lokal atau ID image dan TAG dengan tag. Jika Anda tidak menentukan tag, Docker akan menerapkan tag latest default.

    Jika setelan tag gambar yang tidak dapat diubah diaktifkan, tag harus unik untuk setiap versi gambar, termasuk tag latest. Anda tidak dapat mendorong image ke repositori jika tag sudah digunakan oleh versi lain dari image yang sama di repositori. Untuk memverifikasi apakah setelan diaktifkan untuk repositori, jalankan perintah:

    gcloud artifacts repositories describe REPOSITORY \
    --project=PROJECT-ID \
    --location=LOCATION

    Untuk contoh image dari langkah sebelumnya, Anda akan menggunakan perintah berikut jika image lokal my-image berada di direktori saat ini:

    docker tag my-image us-west1-docker.pkg.dev/my-project/my-repo/test-image

    Jika Anda ingin menerapkan tag tertentu, gunakan perintah:

    docker tag SOURCE-IMAGE LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

    Untuk menggunakan tag staging dengan contoh gambar, Anda menambahkan :staging ke perintah:

    docker tag my-image us-west1-docker.pkg.dev/my-project/my-repo/test-image:staging

Menerapkan image yang memiliki tag ke Artifact Registry

  1. Pastikan Anda diautentikasi ke repositori.

    Jika Anda menggunakan gcloud auth configure-docker atau docker-credential-gcr configure-docker untuk mengonfigurasi klien Docker, verifikasi bahwa nama host target ada dalam file konfigurasi Docker.

  2. Kirim image yang diberi tag dengan perintah:

    docker push LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE

    Perintah ini akan mendorong gambar yang memiliki tag latest. Jika Anda ingin mendorong image yang memiliki tag berbeda, gunakan perintah:

    docker push LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

Saat Anda mendorong image, image tersebut akan disimpan di repositori yang ditentukan.

Setelah mendorong gambar, Anda dapat:

  • Buka Konsol Google Cloud untuk melihat gambar.

  • Jalankan perintah gcloud untuk melihat tag image dan ringkasan yang dibuat secara otomatis:

    gcloud artifacts docker images list \
LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE [--include-tags]

    Contoh output berikut menunjukkan ringkasan image yang terpotong, tetapi perintah selalu menampilkan ringkasan image lengkap.

     IMAGE                                                 DIGEST         CREATE_TIME          UPDATE_TIME
  us-west1-docker.pkg.dev/my-project/my-repo/my-image  sha256:85f...  2019-04-10T15:08:45  2019-04-10T15:08:45
  us-west1-docker.pkg.dev/my-project/my-repo/my-image  sha256:238...  2019-04-10T17:23:53  2019-04-10T17:23:53
  us-west1-docker.pkg.dev/my-project/my-repo/my-image  sha256:85f...  2019-04-10T15:08:46  2019-04-10T15:08:46

Mengambil image dengan Docker

Mode repositori: standar, jarak jauh, virtual

  1. Pastikan Anda diautentikasi ke repositori.

    Jika Anda menggunakan gcloud auth configure-docker atau docker-credential-gcr configure-docker untuk mengonfigurasi klien Docker, verifikasi bahwa nama host target ada dalam file konfigurasi Docker.

  2. Untuk menarik dari repositori, gunakan perintah:

    docker pull LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

    atau

    docker pull LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE@IMAGE-DIGEST

    Ganti nilai berikut:

    • LOCATION adalah lokasi regional atau multi-regional repositori tempat image disimpan.
    • PROJECT adalah project ID Konsol Google Cloud Anda. Jika project ID Anda berisi titik dua (:), lihat Project cakupan domain.
    • PROJECT adalah project ID Konsol Google Cloud Anda.
    • REPOSITORY adalah nama repositori tempat gambar disimpan.
    • IMAGE adalah nama image di repositori.
    • TAG adalah tag untuk versi image yang ingin Anda tarik.
    • IMAGE-DIGEST adalah nilai hash sha256 dari konten gambar. Setiap versi gambar memiliki ringkasan gambar yang unik. Di konsol Google Cloud, klik gambar tertentu untuk melihat metadata-nya. Ringkasan tercantum sebagai Ringkasan image.

    Misalnya, pertimbangkan gambar dengan karakteristik berikut:

    • Lokasi repositori: us-west1
    • Nama repositori: my-repo
    • Project ID: my-project
    • Nama image: test-image
    • Tag: staging

    Perintah untuk mengambil image adalah:

    docker pull us-west1-docker.pkg.dev/my-project/my-repo/test-image:staging

Docker mendownload image yang ditentukan.

Jika Anda meminta image dari repositori jarak jauh, repositori jarak jauh akan mendownload dan menyimpan image dalam cache dari sumber upstream jika salinan yang di-cache tidak ada.

Jika Anda meminta image dari repositori virtual, Artifact Registry akan menelusuri repositori upstream untuk menemukan image yang diminta. Jika Anda meminta versi yang tersedia di lebih dari satu repositori upstream, Artifact Registry akan memilih repositori upstream yang akan digunakan berdasarkan setelan prioritas yang dikonfigurasi untuk repositori virtual.

Misalnya, pertimbangkan repositori virtual dengan setelan prioritas berikut untuk repositori upstream:

  • main-repo: Prioritas ditetapkan ke 100
  • secondary-repo1: Prioritas ditetapkan ke 80.
  • secondary-repo2: Prioritas ditetapkan ke 80.
  • test-repo: Prioritas ditetapkan ke 20.

main-repo memiliki nilai prioritas tertinggi, sehingga repositori virtual selalu menelusurinya terlebih dahulu.

secondary-repo1 dan secondary-repo2 memiliki prioritas yang ditetapkan ke 80. Jika image yang diminta tidak tersedia di main-repo, Artifact Registry akan menelusuri repositori ini berikutnya. Karena keduanya memiliki nilai prioritas yang sama, Artifact Registry dapat memilih untuk menayangkan image dari salah satu repositori jika versi tersedia di keduanya.

test-repo memiliki nilai prioritas terendah dan akan menayangkan artefak yang disimpan jika tidak ada repositori upstream lainnya yang memilikinya.

Menarik gambar dengan crictl

crictl adalah alat command line yang berguna bagi developer runtime CRI untuk men-debug runtime mereka tanpa perlu menyiapkan komponen Kubernetes. Jika node Google Kubernetes Engine Anda menggunakan runtime containerd, Anda dapat mengambil image dari Artifact Registry menggunakan crictl.

Karena crictl terutama merupakan alat pemecahan masalah, beberapa perintah docker seperti mendorong atau memberi tag pada image tidak tersedia.

Untuk mengambil image dari Artifact Registry:

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka Instance VM

  2. SSH ke node yang Anda pecahkan masalahnya.

  3. Dapatkan token akses untuk autentikasi dengan repositori.

    curl -s "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" -H "Metadata-Flavor: Google"

  4. Mengambil gambar menggunakan crictl pull --creds dan nilai access_token

    crictl pull --creds "oauth2accesstoken:ACCESS_TOKEN" LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

    atau

    crictl pull --creds "oauth2accesstoken:ACCESS_TOKEN" LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE@IMAGE-DIGEST

    Outputnya akan terlihat seperti berikut:

    Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5

Langkah selanjutnya