En este documento, se describe cómo configurar la autenticación en los repositorios ascendentes de Docker Hub para los repositorios remotos de Artifact Registry.
Para evitar el uso de la cuota de Docker Hub no autenticada, recomendamos autenticarte en Docker Hub cuando uses repositorios remotos. Los repositorios remotos te permiten agregar tu nombre de usuario de Docker Hub y un token de acceso personal guardado como secreto para autenticarte en Docker Hub.
En este documento, se supone que ya creaste un repositorio remoto de Docker de Artifact Registry y una cuenta de Docker Hub.
Para obtener más información sobre los repositorios remotos, consulta la Descripción general de los repositorios remotos.
Antes de comenzar
-
Accede a tu cuenta de Google.
Si todavía no tienes una cuenta, regístrate para obtener una nueva.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Habilita las API de Artifact Registry, Secret Manager.
- Instala Google Cloud CLI.
-
Para inicializar la CLI de gcloud, ejecuta el siguiente comando:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Habilita las API de Artifact Registry, Secret Manager.
- Instala Google Cloud CLI.
-
Para inicializar la CLI de gcloud, ejecuta el siguiente comando:
gcloud init
Funciones obligatorias
Si quieres obtener los permisos necesarios para configurar la autenticación en Docker Hub para repositorios remotos, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:
-
Administrador de Artifact Registry (
roles/artifactregistry.admin
) -
Administrador de Secret Manager (
roles/secretmanager.admin
)
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios mediante funciones personalizadas, o bien otras funciones predefinidas.
Crea un token de acceso personal de Docker Hub
- Accede a Docker Hub.
- Crea un token de acceso personal con permisos de solo lectura.
Copia el token de acceso.
Guarda el token de acceso en un archivo de texto en tu entorno local o en Cloud Shell.
Guarda tu token de acceso personal en una versión del Secret
- Crea un secreto en Secret Manager.
- Guarda tu token de acceso personal de Docker Hub como una versión secreta.
Otorga a la cuenta de servicio de Artifact Registry acceso a tu secreto
El agente de servicio de Artifact Registry es una cuenta de servicio administrada por Google que actúa en nombre de Artifact Registry cuando interactúa con los servicios de Google Cloud. Si quieres permitir que el agente de servicio use los secretos almacenados en Secret Manager, debes otorgarle permiso para que vea tu versión del secreto.
El identificador del agente de servicio es el siguiente:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER es el número del proyecto de Google Cloud en el que se ejecuta Artifact Registry.
Para otorgar al agente de servicio de Artifact Registry la función de Descriptor de acceso a secretos de Secret Manager, haz lo siguiente:
Consola
-
Ve a la página Secret Manager en la consola de Google Cloud.
-
En la página Secret Manager, haz clic en la casilla de verificación junto al nombre del secreto.
-
Si aún no está abierto, haz clic en Mostrar panel de información para abrir el panel.
-
En el panel de información, haz clic en Agregar principal.
-
En el área de texto Principales nuevas, ingresa las direcciones de correo electrónico de los miembros que deseas agregar.
-
En el menú desplegable Selecciona una función, selecciona Secret Manager y, luego, Administrador y descriptor de acceso a Secretos.
gcloud
$ gcloud secrets add-iam-policy-binding secret-id \
--member="member" \
--role="roles/secretmanager.secretAccessor"
En la que member es un miembro de IAM, como un usuario, un grupo o una cuenta de servicio.
C#
Para autenticarte en Artifact Registry, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Go
Para autenticarte en Artifact Registry, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Java
Para autenticarte en Artifact Registry, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Node.js
Para autenticarte en Artifact Registry, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
PHP
Para autenticarte en Artifact Registry, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Python
Para autenticarte en Artifact Registry, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Ruby
Para autenticarte en Artifact Registry, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
API
Nota: A diferencia de los otros ejemplos, esto reemplaza toda la política de IAM.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id:setIamPolicy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json" \
--data "{\"policy\": {\"bindings\": [{\"members\": [\"member\"], \"role\": \"roles/secretmanager.secretAccessor\"}]}}"
Si quieres obtener más información para otorgar o revocar el acceso a los secretos, consulta Administra el acceso a los secretos.
Agrega credenciales de Docker Hub a tu repositorio remoto
Para actualizar el repositorio remoto con tus credenciales de Docker Hub, sigue estos pasos:
Consola
Abre la página Repositorios en la consola de Google Cloud.
En la lista de repositorios, selecciona el repositorio y haz clic en Editar repositorio.
En la sección Modo de autenticación del repositorio remoto, actualiza o agrega tu nombre de usuario y secreto de Docker Hub que contienen tu token de acceso de Docker Hub.
gcloud CLI
Para actualizar el repositorio remoto con tus credenciales de Docker Hub, ejecuta el siguiente comando:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT_ID \
--location=LOCATION \
--remote-username=USERNAME \
--remote-password-secret-version=projects/PROJECT_ID/secrets/SECRET_ID/versions/SECRET_VERSION
Reemplaza lo siguiente:
REPOSITORY
por el nombre de tu repositorio remoto de Artifact RegistryPROJECT_ID
por el ID del proyecto de Google Cloud.LOCATION
por la ubicación regional o multirregional del repositorio Puedes omitir esta marca si estableces un valor predeterminado. Para ver una lista de ubicaciones compatibles, ejecuta el comandogcloud artifacts locations list
.USERNAME
por tu nombre de usuario de Docker HubSECRET_ID
por el nombre que le asignaste a tu secretoSECRET_VERSION
por la versión secreta en la que guardaste el token de acceso de Docker Hub
¿Qué sigue?
- Obtén más información sobre los repositorios de Artifact Registry.
- Extrae imágenes con Docker.
- Usa la quickstart del repositorio remoto de Docker Hub.