En esta página, se describe cómo crear repositorios remotos de Artifact Registry.
Los repositorios remotos almacenan artefactos de fuentes externas preestablecidas, como Docker Hub, Maven Central, el índice de paquetes de Python (PyPI), Debian o CentOS, así como fuentes definidas por el usuario para formatos compatibles. Un repositorio remoto actúa como un proxy para la fuente externa para que tengas más control sobre las dependencias externas. La primera vez que solicitas una versión de un paquete, Artifact Registry descarga y almacena en caché el paquete en el repositorio remoto. La próxima vez que solicites la misma versión del paquete, Artifact Registry entregará la copia en caché.
Los otros modos de repositorio son los siguientes:
- Estándar: Es el modo de repositorio predeterminado. Subes o publicas artefactos, como paquetes privados, directamente en repositorios estándar. Aunque puedes descargar directamente desde repositorios estándar individuales, el acceso a grupos de repositorios con un repositorio virtual simplifica la configuración de la herramienta.
- Virtual: Un repositorio que actúa como un único punto de acceso para varios repositorios ascendentes, incluidos los repositorios remotos y estándar
Para obtener más detalles sobre cómo funcionan los repositorios remotos, consulta la Descripción general de repositorios remotos.
Antes de comenzar
- Habilita Artifact Registry, incluida la habilitación de la API de Artifact Registry y la instalación de Google Cloud CLI.
- Configura los valores predeterminados para los comandos de gcloud CLI (opcional).
- Si necesitas claves de encriptación administradas por el cliente (CMEK) para encriptar el contenido del repositorio, crea y habilita una clave en Cloud KMS para el repositorio.
Si quieres autenticarte en un repositorio upstream, habilita la API de Secret Manager.
gcloud services enable secretmanager.googleapis.com \ --project=PROJECT_ID
Si Artifact Registry está en un perímetro de servicio de los Controles del servicio de VPC, habilita la API de Access Context Manager si aún no está habilitada.
gcloud services enable accesscontextmanager.googleapis.com \ --project=PROJECT_ID
Funciones obligatorias
Si quieres obtener los permisos que necesitas para administrar repositorios, solicita a tu administrador que te otorgue los siguientes roles de IAM:
-
Crea repositorios remotos y otorga acceso a repositorios individuales: Administrador de Artifact Registry (
roles/artifactregistry.admin
) en el proyecto -
Guarda tus credenciales de repositorio upstream en una versión del Secret:
Administrador de Secret Manager (
roles/secretmanager.admin
) en el proyecto -
Otorga acceso a fuentes upstream fuera del perímetro de servicio de los Controles del servicio de VPC:
Editor de Access Context Manager (
roles/accesscontextmanager.policyEditor
) en el proyecto, la carpeta o la organización donde se aplica la política de acceso
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de funciones personalizadas o, también, otras funciones predefinidas.
Crea un repositorio remoto
Cuando creas un repositorio remoto, debes establecer la siguiente configuración, que no se puede cambiar después de crear el repositorio:
- Formato del artefacto.
- El modo del repositorio está configurado como remoto.
- Ajuste predeterminado del repositorio remoto o fuente upstream definida por el usuario.
- Ubicación del repositorio.
- Encriptación con claves que son propiedad de Google y administradas por Google o claves de encriptación administradas por el cliente Artifact Registry usa claves de encriptación de propiedad y administradas por Google de forma predeterminada.
Artifact Registry aplica las restricciones de las políticas de la organización que requieren CMEK para encriptar recursos o limitar las claves de Cloud KMS que se pueden usar para la protección con CMEK.
Crea un repositorio remoto con la consola de Google Cloud
Abre la página Repositorios en la consola de Google Cloud.
Haz clic en Crear repositorio.
Especifica el nombre del repositorio. Para la ubicación de cada repositorio en un proyecto, los nombres de los repositorios deben ser únicos.
En la sección Formato, selecciona el formato del repositorio.
En la sección Modo de repositorio, selecciona Remoto.
En la sección Fuente del repositorio remoto, selecciona el ajuste predeterminado de forma ascendente o Personalizado si quieres usar una URL definida por el usuario para el flujo ascendente.
Opcional. Si usas un flujo ascendente personalizado, en el campo Repositorio personalizado, ingresa la URL del repositorio personalizado. La URL no se puede cambiar después de crear el repositorio.
En el Modo de autenticación de repositorio remoto, elige una de las siguientes opciones:
- Autenticado: Permite ingresar tu nombre de usuario y secreto para la autenticación en tu repositorio upstream.
- Unauthenticated: Se omite la autenticación para el repositorio upstream.
Opcional. Si seleccionaste Autenticado, ingresa lo siguiente:
- En el campo Nombre de usuario, ingresa tu nombre de usuario para el repositorio upstream.
- En el campo Secreto, ingresa la versión del secreto en la que guardaste tu contraseña para el repositorio upstream.
Puedes editar estos valores después de crear el repositorio. Si quieres obtener más información sobre la autenticación en flujos ascendentes del repositorio remoto, consulta Configura la autenticación para los upstream del repositorio remoto.
En la sección Tipo de ubicación, elige la ubicación del repositorio:
Elige el tipo de ubicación: Región o Multirregional. La lista de ubicaciones cambia para reflejar tu selección.
En la lista Región o Multirregión, selecciona una ubicación.
Para obtener información sobre los tipos de ubicación y las ubicaciones compatibles, consulta Ubicaciones de repositorios
Agrega una descripción para el repositorio. Las descripciones ayudan a identificar el propósito del repositorio y el tipo de artefactos que contiene.
No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.
Si deseas usar etiquetas para organizar tus repositorios, haz clic en Agregar etiqueta y, luego, ingresa el par clave-valor de la etiqueta. Puedes agregar, editar o quitar etiquetas después de crear el repositorio.
En la sección Encriptación, elige el mecanismo de encriptación para el repositorio.
- Clave administrada por Google: Encripta el contenido del repositorio con una clave de propiedad de Google y una administrada por Google.
- Clave administrada por el cliente: Encripta el contenido de un repositorio mediante una clave que controlas a través de Cloud Key Management Service. Si deseas obtener instrucciones para la configuración de claves, consulta Configura CMEK para repositorios.
Si deseas usar políticas de limpieza para borrar artefactos sin usar, en la sección Políticas de limpieza, haz lo siguiente:
- Selecciona Ejecución de prueba para probar la política antes de aplicarla.
- Haz clic en Agregar política para agregar una política de conservación o eliminación a tu repositorio.
- Asigna un nombre descriptivo a la política de limpieza en el campo Nombre.
En la sección Tipo de política, selecciona una de las siguientes opciones:
- Eliminación condicional: Borra los artefactos según las condiciones que definas.
- Conservación condicional: Conserva los artefactos en función de las condiciones que defines.
Conservar las versiones más recientes: Mantiene una cantidad determinada de versiones más recientes por paquete.
Para obtener más detalles sobre las políticas de limpieza, consulta Configura políticas de limpieza.
Haz clic en Crear.
Artifact Registry crea el repositorio y lo agrega a la lista de repositorios.
Después de crear el repositorio, sigue estos pasos:
- Otorga acceso al repositorio.
- Configura Docker, los administradores de paquetes y otros clientes de terceros para autenticarse en los repositorios.
- Configura los repositorios remotos de Artifact Registry para autenticar
sus fuentes ascendentes.
- Imágenes de contenedor: Configura la autenticación del repositorio remoto en Docker Hub
- Paquetes de idiomas:
- Procesos upstream personalizados definidos por el usuario: Configura la autenticación en upstream de repositorios remotos.
Crea un repositorio remoto con gcloud CLI
Para crear un repositorio, ejecuta el comando correspondiente al formato de repositorio adecuado:
Docker
gcloud artifacts repositories create REMOTE-REPOSITORY-NAME \
--project=PROJECT_ID \
--repository-format=docker \
--location=LOCATION \
--description="DESCRIPTION" \
--mode=remote-repository \
--remote-repo-config-desc="REMOTE-REPOSITORY-DESCRIPTION" \
--remote-username=USERNAME \
--remote-password-secret-version=SECRET_VERSION \
--remote-docker-repo=UPSTREAM
Reemplaza lo siguiente:
REMOTE-REPOSITORY-NAME
por el nombre del repositorio Para cada ubicación de repositorio de un proyecto, los nombres de los repositorios deben ser únicos.PROJECT_ID
por el ID del proyecto. Si se omite esta marca, se usa el proyecto actual o predeterminado.LOCATION
por la ubicación regional o multirregional del repositorio Puedes omitir esta marca si estableces un valor predeterminado. Para ver una lista de ubicaciones compatibles, ejecuta el comandogcloud artifacts locations list
.DESCRIPTION
con una descripción opcional del repositorio No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.REMOTE-REPOSITORY-DESCRIPTION
con una descripción de la configuración del repositorio externo de este repositorio remoto.USERNAME
(opcional), si usas autenticación, con tu nombre de usuario para autenticarte en el repositorio upstreamSECRET_VERSION
(opcional), si usas autenticación, con la versión del secreto que contiene la contraseña upstream del repositorio.UPSTREAM
por el nombre predeterminado o la URL definida por el usuario del repositorio ascendente Para obtener información sobre los upstream disponibles predeterminados y los ascendentes definidos por el usuario compatibles, consulta Formatos admitidos.
Por ejemplo, con el siguiente comando, se crea un repositorio remoto llamado my-repo
en la región us-east1
del proyecto de Google Cloud my-project
y se puede autenticar en el repositorio upstream con el nombre de usuario my-username
y la versión del secreto projects/my-project/secrets/my-secret/versions/1
.
gcloud artifacts repositories create my-repo \
--project=my-project \
--repository-format=docker \
--location=us-east1 \
--description="Remote Docker repository" \
--mode=remote-repository \
--remote-repo-config-desc="Docker Hub" \
--remote-username=my-username \
--remote-password-secret-version=projects/my-project/secrets/my-secret/versions/1 \
--remote-docker-repo=DOCKER-HUB
Para obtener más información sobre la autenticación en los repositorios ascendentes de Docker Hub, consulta Configura la autenticación de repositorios remotos en Docker Hub.
Maven
gcloud artifacts repositories create REMOTE-REPOSITORY-NAME \
--project=PROJECT_ID \
--repository-format=maven \
--location=LOCATION \
--description="DESCRIPTION" \
--mode=remote-repository \
--remote-repo-config-desc="REMOTE-REPOSITORY-DESCRIPTION" \
--remote-username=USERNAME \
--remote-password-secret-version=SECRET_VERSION \
--remote-mvn-repo=UPSTREAM
Reemplaza lo siguiente:
REMOTE-REPOSITORY-NAME
por el nombre del repositorio Para cada ubicación de repositorio de un proyecto, los nombres de los repositorios deben ser únicos.PROJECT_ID
por el ID del proyecto. Si se omite esta marca, se usa el proyecto actual o predeterminado.LOCATION
por la ubicación regional o multirregional del repositorio Puedes omitir esta marca si estableces un valor predeterminado. Para ver una lista de ubicaciones compatibles, ejecuta el comandogcloud artifacts locations list
.DESCRIPTION
con una descripción opcional del repositorio No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.REMOTE-REPOSITORY-DESCRIPTION
con una descripción de la configuración del repositorio externo de este repositorio remoto.USERNAME
(opcional), si usas autenticación, con tu nombre de usuario para autenticarte en el repositorio upstreamSECRET_VERSION
(opcional), si usas autenticación, con la versión del secreto que contiene la contraseña upstream del repositorio.UPSTREAM
por el nombre predeterminado o la URL definida por el usuario del repositorio ascendente Para obtener información sobre los upstream disponibles predeterminados y los ascendentes definidos por el usuario compatibles, consulta Formatos compatibles.
Por ejemplo, con el siguiente comando, se crea un repositorio remoto llamado my-repo
en la región us-east1
del proyecto de Google Cloud my-project
y se puede autenticar en el repositorio upstream con el nombre de usuario my-username
y la versión del secreto projects/my-project/secrets/my-secret/versions/1
.
gcloud artifacts repositories create my-repo \
--project=my-project \
--repository-format=maven \
--location=us-east1 \
--description="Remote Maven repository" \
--mode=remote-repository \
--remote-repo-config-desc="Maven Central" \
--remote-username=my-username \
--remote-password-secret-version=projects/my-project/secrets/my-secret/versions/1 \
--remote-mvn-repo=MAVEN-CENTRAL
npm
gcloud artifacts repositories create REMOTE-REPOSITORY-NAME \
--project=PROJECT_ID \
--repository-format=npm \
--location=LOCATION \
--description="DESCRIPTION" \
--mode=remote-repository \
--remote-repo-config-desc="REMOTE-REPOSITORY-DESCRIPTION" \
--remote-username=USERNAME \
--remote-password-secret-version=SECRET_VERSION \
--remote-npm-repo=UPSTREAM
Reemplaza lo siguiente:
REMOTE-REPOSITORY-NAME
por el nombre del repositorio Para cada ubicación de repositorio de un proyecto, los nombres de los repositorios deben ser únicos.PROJECT_ID
por el ID del proyecto. Si se omite esta marca, se usa el proyecto actual o predeterminado.LOCATION
por la ubicación regional o multirregional del repositorio Puedes omitir esta marca si estableces un valor predeterminado. Para ver una lista de ubicaciones compatibles, ejecuta el comandogcloud artifacts locations list
.DESCRIPTION
con una descripción opcional del repositorio No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.REMOTE-REPOSITORY-DESCRIPTION
con una descripción de la configuración del repositorio externo de este repositorio remoto.USERNAME
(opcional), si usas autenticación, con tu nombre de usuario para autenticarte en el repositorio upstreamSECRET_VERSION
(opcional), si usas autenticación, con la versión del secreto que contiene la contraseña upstream del repositorio.UPSTREAM
por el nombre predeterminado o la URL definida por el usuario del repositorio ascendente Para obtener información sobre los upstream disponibles predeterminados y los ascendentes definidos por el usuario compatibles, consulta Formatos compatibles.
Por ejemplo, con el siguiente comando, se crea un repositorio remoto llamado my-repo
en la región us-east1
del proyecto de Google Cloud my-project
y se puede autenticar en el repositorio upstream con el nombre de usuario my-username
y la versión del secreto projects/my-project/secrets/my-secret/versions/1
.
gcloud artifacts repositories create my-repo \
--project=my-project \
--repository-format=npm \
--location=us-east1 \
--description="Remote npm repository" \
--mode=remote-repository \
--remote-repo-config-desc="Public npm registry" \
--remote-username=my-username \
--remote-password-secret-version=projects/my-project/secrets/my-secret/versions/1 \
--remote-npm-repo=NPMJS
Python
gcloud artifacts repositories create REMOTE-REPOSITORY-NAME \
--project=PROJECT_ID \
--repository-format=python \
--location=LOCATION \
--description="DESCRIPTION" \
--mode=remote-repository \
--remote-repo-config-desc="REMOTE-REPOSITORY-DESCRIPTION" \
--remote-username=USERNAME \
--remote-password-secret-version=SECRET_VERSION \
--remote-python-repo=UPSTREAM
Reemplaza lo siguiente:
REMOTE-REPOSITORY-NAME
por el nombre del repositorio Para cada ubicación de repositorio de un proyecto, los nombres de los repositorios deben ser únicos.PROJECT_ID
por el ID del proyecto. Si se omite esta marca, se usa el proyecto actual o predeterminado.LOCATION
por la ubicación regional o multirregional del repositorio Puedes omitir esta marca si estableces un valor predeterminado. Para ver una lista de ubicaciones compatibles, ejecuta el comandogcloud artifacts locations list
.DESCRIPTION
con una descripción opcional del repositorio No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.REMOTE-REPOSITORY-DESCRIPTION
con una descripción de la configuración del repositorio externo de este repositorio remoto.USERNAME
(opcional), si usas autenticación, con tu nombre de usuario para autenticarte en el repositorio upstreamSECRET_VERSION
(opcional), si usas autenticación, con la versión del secreto que contiene la contraseña upstream del repositorio.UPSTREAM
por el nombre predeterminado o la URL definida por el usuario del repositorio ascendente Para obtener información sobre los upstream disponibles predeterminados y los ascendentes definidos por el usuario compatibles, consulta Formatos compatibles.
Por ejemplo, con el siguiente comando, se crea un repositorio remoto llamado my-repo
en la región us-east1
del proyecto de Google Cloud my-project
y se puede autenticar en el repositorio upstream con el nombre de usuario my-username
y la versión del secreto projects/my-project/secrets/my-secret/versions/1
.
gcloud artifacts repositories create my-repo \
--project=my-project \
--repository-format=python \
--location=us-east1 \
--description="Remote Python repository" \
--mode=remote-repository \
--remote-repo-config-desc="PyPI" \
--remote-username=my-username \
--remote-password-secret-version=projects/my-project/secrets/my-secret/versions/1 \
--remote-python-repo=PYPI
Departamento (vista previa)
gcloud artifacts repositories create REMOTE_REPOSITORY_NAME \
--project=PROJECT_ID \
--repository-format=apt \
--location=LOCATION \
--description="DESCRIPTION" \
--mode=remote-repository \
--remote-repo-config-desc="REMOTE_REPOSITORY_DESCRIPTION" \
--remote-apt-repo=APT_REPOSITORY_BASE \
--remote-apt-repo-path="APT_REPOSITORY_PATH"
Reemplaza lo siguiente:
REMOTE_REPOSITORY_NAME
por el nombre del repositorio Para cada ubicación de repositorio de un proyecto, los nombres de los repositorios deben ser únicos.PROJECT_ID
por el ID del proyecto. Si se omite esta marca, se usa el proyecto actual o predeterminado.LOCATION
por la ubicación regional o multirregional del repositorio Puedes omitir esta marca si estableces un valor predeterminado. Para ver una lista de ubicaciones compatibles, ejecuta el comandogcloud artifacts locations list
.DESCRIPTION
con una descripción opcional del repositorio No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.REMOTE_REPOSITORY_DESCRIPTION
con una descripción opcional para la configuración del repositorio externo de este repositorio remoto.APT_REPOSITORY_BASE
por uno de los nombres base de repositorios compatibles que se enumeran en el paquete de SO compatible con versiones ascendentes para los repositorios remotos de AptAPT_REPOSITORY_PATH
por el resto de la URL del repositorio ascendente que deseas almacenar en caché en tu repositorio remoto después de la base del repositorio
Por ejemplo, con el siguiente comando, se crea un repositorio remoto llamado my-repo
para almacenar en caché el repositorio de buster de Debian en la región us-east1
del proyecto my-project
de Google Cloud. La URL completa del repositorio upstream es http://deb.debian.org/debian/dists/buster
.
gcloud artifacts repositories create my-repo \
--project=my-project \
--repository-format=apt \
--location=us-east1 \
--description="Apt remote repository" \
--mode=remote-repository \
--remote-repo-config-desc="Debian buster distribution" \
--remote-apt-repo=DEBIAN \
--remote-apt-repo-path="debian/dists/buster"
Yum (vista previa)
gcloud artifacts repositories create REMOTE_REPOSITORY_NAME \
--project=PROJECT_ID \
--repository-format=yum \
--location=LOCATION \
--description="DESCRIPTION" \
--mode=remote-repository \
--remote-repo-config-desc="REMOTE_REPOSITORY_DESCRIPTION" \
--remote-yum-repo=YUM_REPOSITORY_BASE \
--remote-yum-repo-path="YUM_REPOSITORY_PATH"
Reemplaza lo siguiente:
REMOTE_REPOSITORY_NAME
por el nombre del repositorio Para cada ubicación de repositorio de un proyecto, los nombres de los repositorios deben ser únicos.PROJECT_ID
por el ID del proyecto. Si se omite esta marca, se usa el proyecto actual o predeterminado.LOCATION
por la ubicación regional o multirregional del repositorio Puedes omitir esta marca si estableces un valor predeterminado. Para ver una lista de ubicaciones compatibles, ejecuta el comandogcloud artifacts locations list
.DESCRIPTION
con una descripción opcional del repositorio No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.REMOTE_REPOSITORY_DESCRIPTION
con una descripción opcional para la configuración del repositorio externo de este repositorio remoto.YUM_REPOSITORY_BASE
por uno de los nombres base de repositorios compatibles que se enumeran en el paquete de SO compatible con versiones ascendentes para los repositorios remotos de YumYUM_REPOSITORY_PATH
por el resto de la URL del repositorio ascendente que deseas almacenar en caché en tu repositorio remoto después de la base del repositorio
Por ejemplo, con el siguiente comando, se crea un repositorio remoto para los paquetes de Yum
llamados my-repo
en la región us-east1
del proyecto de Google Cloud
my-project
para el repositorio upstream centos/8-stream/BaseOs/x86_64/os
.
gcloud artifacts repositories create my-repo \
--project=my-project \
--repository-format=yum \
--location=us-east1 \
--description="Yum remote repository" \
--mode=remote-repository \
--remote-repo-config-desc="CentOS 8 x86" \
--remote-yum-repo=CENTOS \
--remote-yum-repo-path="centos/8-stream/BaseOs/x86_64/os"
Artifact Registry crea el repositorio. Ejecuta el siguiente comando para ver una descripción del repositorio:
gcloud artifacts repositories describe REMOTE_REPOSITORY_NAME \
--location=LOCATION
Después de crear el repositorio, haz lo siguiente:
- Otorga acceso al repositorio.
- Configura políticas de limpieza para borrar los artefactos sin usar.
- Configura Docker, los administradores de paquetes y otros clientes de terceros para autenticarse en los repositorios.
- Configura los repositorios remotos de Artifact Registry para autenticar
sus fuentes ascendentes.
- Imágenes de contenedor: Configura la autenticación del repositorio remoto en Docker Hub
- Paquetes de idiomas:
- Procesos upstream personalizados definidos por el usuario: Configura la autenticación en upstream de repositorios remotos.
Crea un repositorio remoto con Terraform
Usa el recurso google_artifact_registry_repository para crear repositorios.
Se requiere la versión 5.0.0
de terraform-provider-google
o una posterior.
Si es la primera vez que usas Terraform para Google Cloud, consulta la página Comenzar: Google Cloud en el sitio web de HashiCorp.
En el siguiente ejemplo, se define el proveedor y un repositorio remoto con el
nombre de recurso de Terraform my-repo
.
Docker
provider "google" {
project = "PROJECT-ID"
}
resource "google_artifact_registry_repository" "my-repo" {
location = "LOCATION"
repository_id = "REPOSITORY_ID"
description = "DESCRIPTION"
format = "docker"
kms_key_name = "KEY"
mode = "REMOTE_REPOSITORY"
remote_repository_config {
description = "CONFIG_DESCRIPTION"
docker_repository {
public_repository = "DOCKER_HUB"
}
}
cleanup_policy_dry_run = DRY_RUN_STATUS
cleanup_policies {
id = "POLICY_NAME"
action = "DELETE"
condition {
tag_state = "TAG_STATE"
tag_prefixes = ["TAG_PREFIX", "TAG_PREFIX_N"]
older_than = "TIME_SINCE_UPLOAD"
}
}
cleanup_policies {
id = "POLICY_NAME"
action = "KEEP"
condition {
tag_state = "TAG_STATE"
tag_prefixes = ["TAG_PREFIX", "TAG_PREFIX_N"]
package_name_prefixes = ["PKG_PREFIX", "PKG_PREFIX_N"]
}
}
cleanup_policies {
id = "POLICY_NAME"
action = "KEEP"
most_recent_versions {
package_name_prefixes = ["PKG_PREFIX", "PKG_PREFIX_N"]
keep_count = KEEP_COUNT
}
}
}
Dónde
PROJECT-ID
es el ID del proyecto de Google Cloud.LOCATION
es la ubicación del repositorio.REPOSITORY_ID
es el ID del repositorio.DESCRIPTION
es la descripción opcional para el repositorio. No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.KEY
es el nombre de la clave de Cloud Key Management Service, si usas claves de encriptación administradas por el cliente (CMEK) para la encriptación. Omite este argumento para usar la configuración predeterminada, las claves de encriptación administradas por Google.CONFIG_DESCRIPTION
es la descripción opcional de la fuente remota.DRY_RUN_STATUS
determina si las políticas de limpieza borran los artefactos o solo registran qué artefactos se borrarán si se configuran políticas de limpieza en el repositorio. Omite esta opción si no quieres agregar políticas de limpieza al repositorio. *true
: Establece las políticas que se ejecutarán en modo de ejecución de prueba. No se borran artefactos en el modo de ejecución de prueba. *false
: Aplica las políticas de limpieza. Los artefactos se borran o se conservan según las políticas. Para obtener más información sobre las políticas de limpieza, consulta Configura políticas de limpieza.POLICY_NAME
es el nombre de la política de limpieza.TAG_STATE
es el estado de la etiqueta al que se aplicará la política. Los valores sontagged
,untagged
yany
.any
se aplica a los artefactos etiquetados y sin etiquetar. Si un repositorio tiene etiquetas inmutables habilitadas, no se pueden borrar los artefactos etiquetados.TAG_PREFIX
yTAG_PREFIX_N
son prefijos de etiqueta a los que se aplicará la política.PKG_PREFIX
yPKG_PREFIX_N
son prefijos del paquete a los que se aplicará la política.TIME_SINCE_UPLOAD
es el tiempo transcurrido desde que se subió la versión de un artefacto al repositorio, que se especifica como una duración. Puedes especificar duraciones de segundos, minutos, horas o días agregandos
,m
,h
od
, respectivamente.KEEP_COUNT
es la cantidad de versiones por paquete de un artefacto que se mantendrá en tu repositorio.
Maven
Si no especificas una política de versión, Artifact Registry crea un repositorio de Maven que almacena versiones instantáneas y de actualización de los paquetes de forma predeterminada.
provider "google" {
project = "PROJECT-ID"
}
resource "google_artifact_registry_repository" "my-repo" {
location = "LOCATION"
repository_id = "REPOSITORY_ID"
description = "DESCRIPTION"
format = "maven"
kms_key_name = "KEY"
mode = "REMOTE_REPOSITORY"
remote_repository_config {
description = "CONFIG_DESCRIPTION"
maven_repository {
public_repository = "MAVEN_CENTRAL"
}
}
cleanup_policy_dry_run = DRY_RUN_STATUS
cleanup_policies {
id = "POLICY_NAME"
action = "DELETE"
condition {
tag_state = "TAG_STATE"
tag_prefixes = ["TAG_PREFIX", "TAG_PREFIX_N"]
older_than = "TIME_SINCE_UPLOAD"
}
}
cleanup_policies {
id = "POLICY_NAME"
action = "KEEP"
condition {
tag_state = "TAG_STATE"
tag_prefixes = ["TAG_PREFIX", "TAG_PREFIX_N"]
package_name_prefixes = ["PKG_PREFIX", "PKG_PREFIX_N"]
}
}
cleanup_policies {
id = "POLICY_NAME"
action = "KEEP"
most_recent_versions {
package_name_prefixes = ["PKG_PREFIX", "PKG_PREFIX_N"]
keep_count = KEEP_COUNT
}
}
}
Dónde
PROJECT-ID
es el ID del proyecto de Google Cloud.LOCATION
es la ubicación del repositorio.REPOSITORY_ID
es el ID del repositorio.DESCRIPTION
es la descripción opcional para el repositorio. No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.KEY
es el nombre de la clave de Cloud Key Management Service, si usas claves de encriptación administradas por el cliente (CMEK) para la encriptación. Omite este argumento para usar la configuración predeterminada, las claves de encriptación administradas por Google.CONFIG_DESCRIPTION
es la descripción opcional de la fuente remota.DRY_RUN_STATUS
determina si las políticas de limpieza borran los artefactos o solo registran qué artefactos se borrarán si se configuran políticas de limpieza en el repositorio. Omite esta opción si no quieres agregar políticas de limpieza al repositorio. *true
: Establece las políticas que se ejecutarán en modo de ejecución de prueba. No se borran artefactos en el modo de ejecución de prueba. *false
: Aplica las políticas de limpieza. Los artefactos se borran o se conservan según las políticas. Para obtener más información sobre las políticas de limpieza, consulta Configura políticas de limpieza.POLICY_NAME
es el nombre de la política de limpieza.TAG_STATE
es el estado de la etiqueta al que se aplicará la política. Los valores sontagged
,untagged
yany
.any
se aplica a los artefactos etiquetados y sin etiquetar. Si un repositorio tiene etiquetas inmutables habilitadas, no se pueden borrar los artefactos etiquetados.TAG_PREFIX
yTAG_PREFIX_N
son prefijos de etiqueta a los que se aplicará la política.PKG_PREFIX
yPKG_PREFIX_N
son prefijos del paquete a los que se aplicará la política.TIME_SINCE_UPLOAD
es el tiempo transcurrido desde que se subió la versión de un artefacto al repositorio, que se especifica como una duración. Puedes especificar duraciones de segundos, minutos, horas o días agregandos
,m
,h
od
, respectivamente.KEEP_COUNT
es la cantidad de versiones por paquete de un artefacto que se mantendrá en tu repositorio.
Si quieres almacenar versiones de instantáneas y actualizaciones en diferentes repositorios, especifica una política de versión para el repositorio mediante un bloque maven_config
. Este bloque admite la siguiente configuración:
version_policy
establece la política de la versión con uno de los siguientes valores:VERSION_POLICY_UNSPECIFIED
: Almacena paquetes de instantáneas y actualizaciones. Esta es la configuración predeterminada.- LANZAMIENTO: Almacena solo paquetes de lanzamiento.
- SNAPSHOT: Almacena solo paquetes de instantáneas.
allow_snapshot_overwrites
configura un repositorio con una política de versionesSNAPSHOT
para aceptar instantáneas que no son únicas y que reemplazan las versiones existentes en el repositorio.
En el siguiente ejemplo, se define un repositorio de Maven con una política de la versión de actualización.
provider "google" {
project = "my-project"
}
resource "google_artifact_registry_repository" "my-repo" {
provider = google-beta
location = "LOCATION"
repository_id = "my-repo"
description = "Maven repository"
format = "MAVEN"
mode = "REMOTE_REPOSITORY"
maven_config {
version_policy = "RELEASE"
}
}
npm
provider "google" {
project = "PROJECT-ID"
}
resource "google_artifact_registry_repository" "my-repo" {
location = "LOCATION"
repository_id = "REPOSITORY_ID"
description = "DESCRIPTION"
format = "npm"
kms_key_name = "KEY"
mode = "REMOTE_REPOSITORY"
remote_repository_config {
description = "CONFIG_DESCRIPTION"
npm_repository {
public_repository = "NPMJS"
}
}
cleanup_policy_dry_run = DRY_RUN_STATUS
cleanup_policies {
id = "POLICY_NAME"
action = "DELETE"
condition {
tag_state = "TAG_STATE"
tag_prefixes = ["TAG_PREFIX", "TAG_PREFIX_N"]
older_than = "TIME_SINCE_UPLOAD"
}
}
cleanup_policies {
id = "POLICY_NAME"
action = "KEEP"
condition {
tag_state = "TAG_STATE"
tag_prefixes = ["TAG_PREFIX", "TAG_PREFIX_N"]
package_name_prefixes = ["PKG_PREFIX", "PKG_PREFIX_N"]
}
}
cleanup_policies {
id = "POLICY_NAME"
action = "KEEP"
most_recent_versions {
package_name_prefixes = ["PKG_PREFIX", "PKG_PREFIX_N"]
keep_count = KEEP_COUNT
}
}
}
Dónde
PROJECT-ID
es el ID del proyecto de Google Cloud.LOCATION
es la ubicación del repositorio.REPOSITORY_ID
es el ID del repositorio.DESCRIPTION
es la descripción opcional para el repositorio. No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.KEY
es el nombre de la clave de Cloud Key Management Service, si usas claves de encriptación administradas por el cliente (CMEK) para la encriptación. Omite este argumento para usar la configuración predeterminada, las claves de encriptación administradas por Google.CONFIG_DESCRIPTION
es la descripción opcional de la fuente remota.DRY_RUN_STATUS
determina si las políticas de limpieza borran los artefactos o solo registran qué artefactos se borrarán si se configuran políticas de limpieza en el repositorio. Omite esta opción si no quieres agregar políticas de limpieza al repositorio. *true
: Establece las políticas que se ejecutarán en modo de ejecución de prueba. No se borran artefactos en el modo de ejecución de prueba. *false
: Aplica las políticas de limpieza. Los artefactos se borran o se conservan según las políticas. Para obtener más información sobre las políticas de limpieza, consulta Configura políticas de limpieza.POLICY_NAME
es el nombre de la política de limpieza.TAG_STATE
es el estado de la etiqueta al que se aplicará la política. Los valores sontagged
,untagged
yany
.any
se aplica a los artefactos etiquetados y sin etiquetar. Si un repositorio tiene etiquetas inmutables habilitadas, no se pueden borrar los artefactos etiquetados.TAG_PREFIX
yTAG_PREFIX_N
son prefijos de etiqueta a los que se aplicará la política.PKG_PREFIX
yPKG_PREFIX_N
son prefijos del paquete a los que se aplicará la política.TIME_SINCE_UPLOAD
es el tiempo transcurrido desde que se subió la versión de un artefacto al repositorio, que se especifica como una duración. Puedes especificar duraciones de segundos, minutos, horas o días agregandos
,m
,h
od
, respectivamente.KEEP_COUNT
es la cantidad de versiones por paquete de un artefacto que se mantendrá en tu repositorio.
Python
provider "google" {
project = "PROJECT-ID"
}
resource "google_artifact_registry_repository" "my-repo" {
location = "LOCATION"
repository_id = "REPOSITORY_ID"
description = "DESCRIPTION"
format = "python"
kms_key_name = "KEY"
mode = "REMOTE_REPOSITORY"
remote_repository_config {
description = "CONFIG_DESCRIPTION"
python_repository {
public_repository = "PYPI"
}
}
cleanup_policy_dry_run = DRY_RUN_STATUS
cleanup_policies {
id = "POLICY_NAME"
action = "DELETE"
condition {
tag_state = "TAG_STATE"
tag_prefixes = ["TAG_PREFIX", "TAG_PREFIX_N"]
older_than = "TIME_SINCE_UPLOAD"
}
}
cleanup_policies {
id = "POLICY_NAME"
action = "KEEP"
condition {
tag_state = "TAG_STATE"
tag_prefixes = ["TAG_PREFIX", "TAG_PREFIX_N"]
package_name_prefixes = ["PKG_PREFIX", "PKG_PREFIX_N"]
}
}
cleanup_policies {
id = "POLICY_NAME"
action = "KEEP"
most_recent_versions {
package_name_prefixes = ["PKG_PREFIX", "PKG_PREFIX_N"]
keep_count = KEEP_COUNT
}
}
}
Dónde
PROJECT-ID
es el ID del proyecto de Google Cloud.LOCATION
es la ubicación del repositorio.REPOSITORY_ID
es el ID del repositorio.DESCRIPTION
es la descripción opcional para el repositorio. No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.KEY
es el nombre de la clave de Cloud Key Management Service, si usas claves de encriptación administradas por el cliente (CMEK) para la encriptación. Omite este argumento para usar la configuración predeterminada, las claves de encriptación administradas por Google.CONFIG_DESCRIPTION
es la descripción opcional de la fuente remota.DRY_RUN_STATUS
determina si las políticas de limpieza borran los artefactos o solo registran qué artefactos se borrarán si se configuran políticas de limpieza en el repositorio. Omite esta opción si no quieres agregar políticas de limpieza al repositorio. *true
: Establece las políticas que se ejecutarán en modo de ejecución de prueba. No se borran artefactos en el modo de ejecución de prueba. *false
: Aplica las políticas de limpieza. Los artefactos se borran o se conservan según las políticas. Para obtener más información sobre las políticas de limpieza, consulta Configura políticas de limpieza.POLICY_NAME
es el nombre de la política de limpieza.TAG_STATE
es el estado de la etiqueta al que se aplicará la política. Los valores sontagged
,untagged
yany
.any
se aplica a los artefactos etiquetados y sin etiquetar. Si un repositorio tiene etiquetas inmutables habilitadas, no se pueden borrar los artefactos etiquetados.TAG_PREFIX
yTAG_PREFIX_N
son prefijos de etiqueta a los que se aplicará la política.PKG_PREFIX
yPKG_PREFIX_N
son prefijos del paquete a los que se aplicará la política.TIME_SINCE_UPLOAD
es el tiempo transcurrido desde que se subió la versión de un artefacto al repositorio, que se especifica como una duración. Puedes especificar duraciones de segundos, minutos, horas o días agregandos
,m
,h
od
, respectivamente.KEEP_COUNT
es la cantidad de versiones por paquete de un artefacto que se mantendrá en tu repositorio.
Departamento (vista previa)
provider "google" {
project = "PROJECT_ID"
}
resource "google_artifact_registry_repository" "my-repo" {
location = "LOCATION"
repository_id = "REPOSITORY_ID"
description = "DESCRIPTION"
format = "APT"
mode = "REMOTE_REPOSITORY"
remote_repository_config {
description = "CONFIG_DESCRIPTION"
apt_repository {
public_repository {
repository_base = "REPOSITORY_BASE"
repository_path = "REPOSITORY_PATH"
}
}
}
}
Dónde
- PROJECT-ID es el ID del proyecto de Google Cloud.
- LOCATION es la ubicación del repositorio.
- REPOSITORY_ID es el ID del repositorio.
- DESCRIPTION es la descripción opcional del repositorio. No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.
- CONFIG_DESCRIPTION es la descripción opcional de la fuente remota.
- REPOSITORY_BASE es la base de repositorio público predeterminada para Apt.
Los valores posibles son
DEBIAN
yUBUNTU
. - REPOSITORY_PATH es el repositorio específico de la base. Por ejemplo,
debian/dists/buster
.
Yum (versión preliminar)
provider "google" {
project = "PROJECT_ID"
}
resource "google_artifact_registry_repository" "my-repo" {
location = "LOCATION"
repository_id = "REPOSITORY_ID"
description = "DESCRIPTION"
format = "YUM"
mode = "REMOTE_REPOSITORY"
remote_repository_config {
description = "CONFIG_DESCRIPTION"
yum_repository {
public_repository {
repository_base = "REPOSITORY_BASE"
repository_path = "REPOSITORY_PATH"
}
}
}
}
Dónde
- PROJECT-ID es el ID del proyecto de Google Cloud.
- LOCATION es la ubicación del repositorio.
- REPOSITORY_ID es el ID del repositorio.
- DESCRIPTION es la descripción opcional del repositorio. No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.
- CONFIG_DESCRIPTION es la descripción opcional de la fuente remota.
- REPOSITORY_BASE es el repositorio público predeterminado de Yum.
Los valores posibles son
CENTOS
,CENTOS_DEBUG
,CENTOS_VAULT
,CENTOS_STREAM
,ROCKY
yEPEL
. - REPOSITORY_PATH es el repositorio específico de la base. Por ejemplo,
"centos/8-stream/BaseOS/x86_64/os
.
Artifact Registry crea el repositorio. Ejecuta el siguiente comando para ver una descripción del repositorio:
gcloud artifacts repositories describe REPOSITORY \
--location=LOCATION
Después de crear el repositorio, sigue estos pasos:
- Otorga acceso al repositorio.
- Configura Docker, los administradores de paquetes y otros clientes de terceros para autenticarse en los repositorios.
- Configura los repositorios remotos de Artifact Registry para autenticar
sus fuentes ascendentes.
- Imágenes de contenedor: Configura la autenticación del repositorio remoto en Docker Hub
- Paquetes de idiomas:
- Procesos upstream personalizados definidos por el usuario: Configura la autenticación en upstream de repositorios remotos.
Edita las descripciones del repositorio
Puedes cambiar la descripción del repositorio desde la consola de Google Cloud o la gcloud CLI.
Console
Abre la página Repositorios en la consola de Google Cloud.
En la lista de repositorios, selecciona el repositorio y haz clic en Editar repositorio.
Edita la descripción del repositorio y, luego, haz clic en Guardar.
gcloud
Para actualizar la descripción del repositorio, ejecuta el siguiente comando:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT \
--location=LOCATION \
--description="DESCRIPTION"
Reemplaza lo siguiente:
REPOSITORY
: Es el nombre del repositorio. Si configuraste un repositorio predeterminado, puedes omitir esta marca para usarlo.PROJECT
: el ID del proyecto de Google Cloud. Si se omite esta marca, se usa el proyecto actual o predeterminado.LOCATION
: Es una ubicación regional o multirregional regional. Usa esta marca para ver los repositorios en una ubicación específica. Si configuraste una ubicación default, puedes omitir esta marca para usar la predeterminada.DESCRIPTION
: Es una descripción para el repositorio.
Acceso a fuentes upstream en un perímetro de servicio
Los servicios en un perímetro de servicio de los Controles del servicio de VPC tienen acceso restringido a los recursos fuera del perímetro.
Puedes permitir o denegar el acceso a fuentes upstream dentro de una ubicación y un proyecto de Google Cloud especificados.
De forma predeterminada, Artifact Registry rechaza el acceso a las fuentes ascendentes si no otorgaste acceso de forma explícita.
Para Artifact Registry, el rol que se requiere es el de administrador de Artifact Registry
(roles/artifactregistry.admin
).
Ver configuración de fuentes upstream
Para ver la configuración de una combinación específica de proyecto y ubicación, ejecuta el siguiente comando:
gcloud artifacts vpcsc-config describe \
--project=PROJECT_ID \
--location=LOCATION
Por ejemplo, usa el siguiente comando para ver la configuración de los repositorios remotos en us-east1
en el proyecto my-project
:
gcloud artifacts vpcsc-config describe \
--project=my-project \
--location=us-east1
Permitir el acceso a fuentes upstream
Para permitir el acceso a fuentes upstream en una ubicación específica, ejecuta el comando:
gcloud artifacts vpcsc-config allow \
--project=PROJECT_ID \
--location=LOCATION
Por ejemplo, usa el siguiente comando para permitir que todos los repositorios remotos de us-east1
en el proyecto my-project
accedan a sus fuentes upstream fuera del perímetro:
gcloud artifacts vpcsc-config allow \
--project=my-project \
--location=us-east1
Denegar acceso a fuentes upstream
Cuando rechazas el acceso a fuentes upstream, los artefactos existentes almacenados en caché en repositorios remotos aún están disponibles.
Para denegar el acceso a fuentes upstream en una ubicación específica, ejecuta el comando:
gcloud artifacts vpcsc-config deny \
--project=PROJECT_ID \
--location=LOCATION
Por ejemplo, usa el siguiente comando para bloquear el acceso a fuentes upstream
fuera del perímetro para todos los repositorios remotos en us-west1
en el
proyecto my-project
:
gcloud artifacts vpcsc-config deny \
--project=my-project \
--location=us-west1
¿Qué sigue?
- Crea un repositorio remoto de Docker Hub.
- Obtén más información sobre los repositorios remotos de Artifact Registry.
- Configura la autenticación del repositorio remoto en Docker Hub.