Descripción general del repositorio

Artifact Registry te permite almacenar diferentes tipos de artefactos, crear varios repositorios en un solo proyecto y asociar una ubicación regional o multirregional específica con cada repositorio. En esta página, se describen las consideraciones que te ayudarán a planificar las ubicaciones y la organización de tus repositorios.

Cuando crees tus repositorios, considera tanto procesos internos para crear los artefactos como el uso que realizan los consumidores de tus artefactos.

Formatos de repositorios

Cada repositorio está asociado con un formato de artefacto específico. Por ejemplo, un repositorio de Docker almacena imágenes de Docker. Puedes crear varios repositorios para cada formato en el mismo proyecto Google Cloud .

Modos de repositorio

Existen varios modos de repositorio. Cada modo tiene un propósito diferente, por lo que no puedes cambiar el modo del repositorio después de crearlo.

Repositorio estándar

Los repositorios estándar son repositorios regulares de Artifact Registry para tus artefactos privados. Puedes subir y descargar artefactos directamente con estos repositorios, y usar Artifact Analysis para analizar vulnerabilidades y otros metadatos.

Para crear repositorios estándar, sigue los pasos que se indican en Crea repositorios estándar.

Repositorio remoto

Los repositorios remotos son repositorios de solo lectura que actúan como proxies para almacenar artefactos de las siguientes fuentes upstream:

  • Repositorios estándar de Artifact Registry
  • Fuentes externas, como Docker Hub, Maven Central, el índice de paquetes de Python (PyPI), Debian o CentOS

La primera vez que solicitas una versión de un artefacto, el repositorio la descarga de la fuente upstream y almacena en caché una copia. El repositorio remoto entrega la copia almacenada en caché cuando se vuelve a solicitar la misma versión.

Los repositorios remotos reducen la latencia y mejoran la disponibilidad para las compilaciones y las implementaciones en Google Cloud. También puedes usar Artifact Analysis para analizar los paquetes almacenados en caché en busca de vulnerabilidades y otros metadatos.

Para obtener más información sobre los repositorios remotos, consulta la Descripción general de los repositorios remotos. Para crear repositorios remotos, sigue los pasos que se indican en Crea repositorios remotos.

Repositorio virtual

Es un repositorio de solo lectura que actúa como un único punto de acceso para descargar, instalar o implementar artefactos del mismo formato desde uno o más repositorios upstream. Un repositorio directo puede ser un repositorio estándar, remoto o virtual.

Los repositorios virtuales simplifican la configuración del cliente para los consumidores de tus artefactos. También puedes mitigar los ataques de confusión de dependencias configurando tu política ascendente para priorizar los repositorios con tus artefactos privados por sobre los repositorios remotos que almacenan en caché los artefactos públicos.

Para obtener más información sobre los repositorios virtuales, consulta Descripción general de los repositorios virtuales. Para crear repositorios virtuales, sigue los pasos que se indican en Crea repositorios virtuales.

Ejemplo de uso del repositorio

En el siguiente diagrama, se muestra una de las muchas formas posibles en que puedes usar repositorios en diferentes modos. El diagrama muestra un flujo de trabajo en dos proyectos deGoogle Cloud . En un proyecto de desarrollo, los desarrolladores compilan una aplicación de Java. En otro proyecto de tiempo de ejecución, otra compilación crea una imagen de contenedor con la aplicación para la implementación en Google Kubernetes Engine.

Repositorios estándar, virtuales y remotos que se usan en dos proyectos.

  1. En el proyecto de desarrollo, un equipo de desarrollo de Java usa Cloud Build para compilar una aplicación de Java.

    • La compilación puede solicitar dependencias públicas de Java con el repositorio virtual. El repositorio virtual entrega las dependencias del repositorio remoto, que es un proxy de almacenamiento en caché para Maven Central.
    • Cloud Build sube el paquete al repositorio estándar de Maven en el proyecto del componente.

  2. En el proyecto de tiempo de ejecución, Cloud Build crea un contenedor para la aplicación Java.

    La compilación usa el repositorio virtual de Maven para descargar la aplicación. El repositorio virtual entrega el paquete desde el repositorio estándar en el proyecto de desarrollo. La compilación también puede descargar dependencias públicas de Java desde el mismo repositorio virtual.

  3. En el proyecto de tiempo de ejecución, Cloud Build sube la imagen de contenedor compilada a un repositorio de Docker estándar.

  4. GKE extrae imágenes del repositorio virtual de Docker.

    • El repositorio estándar de Docker upstream proporciona imágenes privadas, como la aplicación de Java en contenedores.
    • El repositorio remoto upstream proporciona imágenes que GKE solicita desde Docker Hub.

En este ejemplo, todos los repositorios, las compilaciones y los clústeres de GKE se encuentran en la misma región. Usar la misma ubicación para los servicios de Google Cloud tiene beneficios que se describen en Ubicación del repositorio.

Ubicación del repositorio

Puedes crear uno o más repositorios en una región o multirregión compatible. Una buena ubicación del repositorio equilibra los costos de latencia, disponibilidad y ancho de banda para los consumidores de datos. Es posible que tu organización también tenga requisitos de cumplimiento específicos.

Consideraciones de ubicación

En esta sección, se describe por qué te conviene crear un repositorio en la misma región que otros servicios de Google Cloud .

Puedes reducir la latencia y los costos de salida de red si creas repositorios en la misma región en la que ejecutas GKE, Cloud Run, Cloud Build y otros servicios de Google Cloud que interactúan con el repositorio. No se aplican cargos por el tráfico de salida de Artifact Registry a otros servicios de Google Cloud en la misma región.

Si bien no se cobra la salida de una región múltiple a un servicio deGoogle Cloud en una región correspondiente, este precio solo se aplica a un conjunto limitado de regiones.

  • En el caso de la multirregión us, no se cobra la salida a una región de Estados Unidos, como us-central, pero sí se cobra la salida a cualquier región de Canadá o América del Sur.
  • En el caso de la multirregión asia, no se cobran los cargos de salida a regiones de Asia, como asia-northeast1, pero sí se cobran los cargos de salida a regiones de Australia.
Solo puedes usar la transmisión de imágenes en GKE y Google Cloud Serverless para Apache Spark si tus imágenes de contenedor se almacenan en repositorios de Artifact Registry en la misma región que tus cargas de trabajo o en una multirregión que corresponda a la región con tus cargas de trabajo. La transmisión de imágenes puede reducir significativamente el tiempo de inicialización de la carga de trabajo cuando usas imágenes de contenedor más grandes, ya que las cargas de trabajo pueden comenzar antes de que se descargue toda la imagen.

Considera la ubicación de los consumidores fuera de Google Cloud. Por ejemplo, si tu equipo de desarrolladores en Australia necesita descargar artefactos de Artifact Registry a sus estaciones de trabajo locales, un repositorio en una región australiana reducirá la latencia y generará cargos de salida más bajos que un repositorio ubicado en otro continente.

Restringe las ubicaciones de los repositorios

Si necesitas cumplir con reglamentaciones o políticas que requieren que almacenes datos en regiones específicas, puedes incluir una restricción de ubicaciones de recursos en tu política de la organización de Google Cloudque solo permita la creación de repositorios en regiones que cumplan con los requisitos. Artifact Registry solo aplica la restricción después de que la incluyes en tu política de la organización. Si tienes repositorios existentes en ubicaciones que no cumplen con los requisitos, debes mover tus artefactos a un repositorio en una ubicación que sí los cumpla y, luego, borrar el repositorio que no cumple con los requisitos.

Políticas de limpieza

Una política de limpieza de Artifact Registry define criterios para borrar automáticamente las versiones de artefactos que ya no necesitas o conservar los artefactos que deseas almacenar de forma indefinida.

Las políticas de limpieza son útiles si almacenas muchas versiones de tus artefactos, pero solo necesitas conservar las versiones específicas que lanzas a producción. Puedes definir políticas de eliminación con criterios para borrar artefactos y políticas de conservación con criterios para retener artefactos.

Si una versión de artefacto coincide con los criterios de una política de eliminación y una política de conservación, Artifact Registry aplica la política de conservación.

Borra políticas

Las políticas de eliminación borran los artefactos que cumplen con los siguientes criterios obligatorios:

  • Estado de la etiqueta: Indica si la política debe verificar los artefactos etiquetados o sin etiquetar. Los artefactos se etiquetan cuando se envía o extrae una imagen a un repositorio o desde él. Para obtener más información sobre las etiquetas de Docker, consulta Conceptos de contenedores.

    • Cualquier estado de etiqueta: Ignora el estado de la etiqueta y se aplica a los artefactos etiquetados y sin etiquetar.
    • Etiquetado: Solo se aplica a los artefactos etiquetados.
    • Sin etiquetar: Solo se aplica a los artefactos sin etiquetar.

    Los formatos que no admiten etiquetas se tratan como untagged. No se pueden borrar los artefactos etiquetados en repositorios con etiquetas inmutables habilitadas.

    Para obtener más información sobre el estado de las etiquetas en relación con las políticas de limpieza, consulta la referencia de TagState.

Las siguientes son formas opcionales de definir tu política de eliminación:

  • Prefijos de etiquetas: Es una lista de prefijos de etiquetas separados por comas. Por ejemplo, los prefijos test y staging coincidirían con imágenes que tengan las etiquetas testenv y staging-1.5. tagState debe establecerse en TAGGED para usar prefijos de etiquetas.
    • Prefijos de versión: Es una lista separada por comas de prefijos de versión de artefactos. Por ejemplo, v1, v2 coincidiría con las versiones v1.5, v2.0alpha y v10.2.
  • Prefijos de paquete: Es una lista de prefijos de nombres de artefactos. Puedes ingresar varios prefijos presionando Enter o , entre ellos. Por ejemplo, red, blue crearía dos prefijos, red y blue, y coincidiría con los nombres de artefactos red-team, redis y bluebird.
  • Anterior a: Es el tiempo mínimo transcurrido desde que se subió una versión del artefacto al repositorio, especificado como duración. Por ejemplo, 30d equivale a 30 días. Puedes especificar duraciones de segundos, minutos, horas o días agregando s, m, h o d, respectivamente.
  • Más reciente que: Es el tiempo máximo transcurrido desde que se subió una versión del artefacto al repositorio, especificado como una duración. Por ejemplo, 30d equivale a 30 días.

Políticas de conservación

Las políticas de conservación mantienen los artefactos que coinciden con las mismas condiciones que las políticas de eliminación o una cantidad establecida de las versiones más recientes.

Por ejemplo, dado un repositorio que contiene los siguientes artefactos:

IMAGE: us-west1-docker.pkg.dev/my-project/release-xyz-v1
DIGEST: sha256:1b0a26bd07a3d17473d8d8468bea84015e27f87124b2831234581bce13f61370
TAGS:
CREATE_TIME: 2023-06-19T18:59:09
UPDATE_TIME: 2023-06-19T18:59:10

IMAGE: us-west1-docker.pkg.dev/my-project/release-xyz-v2
DIGEST: sha256:6e494387c901caf429c1bf77bd92fb82b33a68c0e19f123456a3ac8d27a7049d
TAGS: latest
CREATE_TIME: 2023-06-19T18:59:09
UPDATE_TIME: 2023-06-19T18:59:09

IMAGE: us-west1-docker.pkg.dev/my-project/release-v2
DIGEST: sha256:6e494387c901caf429c1bf77bd92fb82b33a68c0e19f123456a3ac8d27a7049d
TAGS: latest
CREATE_TIME: 2023-06-19T18:59:09
UPDATE_TIME: 2023-06-19T18:59:09

Si tu política Conservar las versiones más recientes está configurada para conservar 3 versiones de los paquetes que coinciden con los prefijos de paquetes: {release-xyz}, solo se conservan release-xyz-v1 y release-xyz-v2.

Las eliminaciones que se activan con las políticas de eliminación se tienen en cuenta para la cuota de solicitudes de eliminación por proyecto de Artifact Registry.

Para crear y aplicar políticas de limpieza a tu repositorio, consulta Cómo configurar políticas de limpieza.

Compatibilidad con el dominio gcr.io

Artifact Registry admite el alojamiento de imágenes en el dominio gcr.io. Si migras de Container Registry a Artifact Registry, puedes configurar repositorios de gcr.io en Artifact Registry para minimizar los cambios en tu automatización y flujos de trabajo existentes. Estos repositorios proporcionan lo siguiente:

  • Redireccionamiento de solicitudes al dominio gcr.io
  • Se crean repositorios de gcr.io cuando se envía la primera imagen a un nombre de host de gcr.io para garantizar la compatibilidad con el comportamiento de Container Registry.

Para obtener más información, consulta Transición a repositorios con compatibilidad con dominios gcr.io

Estructura del proyecto

Tu jerarquía de recursos es la forma en que organizas tus recursos en todos los Google Cloud proyectos. La estructura que elijas dependerá de factores como los requisitos de administración de datos, los límites de confianza y la estructura del equipo.

Existen dos enfoques generales para configurar tus repositorios en organizaciones con varios proyectos.

Centraliza los repositorios
Crea todos los repositorios en un solo proyecto y, luego, otorga acceso a las principales de otros proyectos a nivel del repositorio. Este enfoque puede ser más eficaz cuando una sola persona o equipo se encarga de la administración y el acceso al repositorio en toda la organización.
También puede simplificar la configuración de repositorios virtuales, ya que solo necesitas habilitar y administrar una sola instancia de Artifact Registry.
Repositorios específicos del proyecto
Crea repositorios en proyectos que almacenan y descargan artefactos. Este enfoque podría ser necesario cuando tienes políticas de administración de datos o límites de confianza que requieren una mayor separación a nivel del proyecto y un mayor control de los recursos.

Control de acceso

Solo se puede acceder a los repositorios con los permisos adecuados, a menos que configures el repositorio para el acceso público. Puedes otorgar permisos a nivel de proyecto o de repositorio.

Algunos Google Cloud servicios usan cuentas de servicio predeterminadas con permisos predeterminados para los repositorios en el mismo Google Cloud proyecto. Sin embargo, es posible que estos valores predeterminados no sean adecuados para tu proceso de desarrollo de software o que no cumplan con los requisitos de seguridad o de políticas de tu organización. El administrador del repositorio debe otorgar explícitamente acceso a los repositorios a estos servicios en los siguientes casos:

  • Artifact Registry se encuentra en un proyecto diferente del servicio que interactúa con él.
  • Estás usando roles personalizados de IAM con las cuentas de servicio predeterminadas en lugar del rol predefinido.
  • No estás usando la cuenta de servicio predeterminada para el servicio de Google Cloud.
  • Estás configurando repositorios virtuales. Debes otorgar explícitamente a la cuenta de servicio de Artifact Registry acceso a los repositorios upstream.

En el caso de otras entidades principales que requieran acceso a los repositorios, el administrador del repositorio debe otorgar el acceso. Según el principio de seguridad de privilegio mínimo, otorga los permisos mínimos requeridos. Por ejemplo:

  • Implementas imágenes de contenedor en Artifact Registry en clústeres de GKE en varios proyectos diferentes. La cuenta de servicio para los nodos de estos clústeres solo requiere acceso de lectura a los repositorios.
  • Tienes un repositorio de desarrollo para las aplicaciones que están en desarrollo y un repositorio de producción para las aplicaciones que se lanzan. Los desarrolladores requieren acceso de lectura y escritura al repositorio de desarrollo, y acceso de solo lectura al repositorio de producción.
  • Tienes un repositorio de demostración con aplicaciones de ejemplo. Tu equipo de ventas solo requiere acceso de solo lectura para descargar las demostraciones.

Restringe las descargas de artefactos

Puedes restringir las descargas de artefactos con reglas de descarga. Las reglas de descarga te permiten permitir o rechazar las descargas de artefactos desde tus repositorios y paquetes. También puedes establecer condiciones para que la regla se aplique a etiquetas o versiones específicas.

Para obtener detalles sobre cómo funcionan las reglas de descarga, consulta la sección Restringe las descargas de artefactos del resumen de Controla el acceso y protege los artefactos.

Encriptación de datos

De forma predeterminada, Google Cloud encripta automáticamente los datos cuando están en reposo conpropiedad de Google y administradas por Google con tecnología de Google Cloud. Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes crear repositorios encriptados con claves de encriptación administradas por el cliente (CMEK).

Artifact Registry también admite restricciones de políticas de la organización que pueden requerir CMEK para proteger los recursos.

Etiquetas de recurso y de instancia

Las etiquetas proporcionan una forma de organizar los recursos específicos de un servicio. Google CloudEn Artifact Registry, puedes agregar etiquetas a los repositorios para agruparlos o filtrar las listas de repositorios por etiqueta. Por ejemplo, puedes usar etiquetas para agrupar repositorios por etapa de desarrollo o por equipo con fines de automatización o facturación. Para obtener más información sobre cómo crear y usar etiquetas de repositorios, consulta Etiqueta repositorios.

También puedes aplicar etiquetas a los repositorios. Si bien las etiquetas son principalmente para organizar y filtrar recursos específicos del servicio, las etiquetas son para el control programático de políticas en toda una organización de Google Cloud . Para obtener más información, consulta Cómo etiquetar repositorios.

Pasos siguientes