Modifications pour la création et le déploiement dans Google Cloud

Ce document vous présente les différences entre Container Registry et Artifact Registry lors de la création d'images de conteneurs avec Cloud Build et les déployer dans des environnements d'exécution Google Cloud Cloud Run ou Google Kubernetes Engine.

Dans ce guide, les comparaisons portent sur les dépôts Artifact Registry standards, qui sont des dépôts Artifact Registry standards indépendants de Container Registry et compatibles avec toutes les fonctionnalités d'Artifact Registry. Si votre administrateur a configuré des dépôts avec prise en charge du domaine gcr.io, les requêtes envoyées aux noms d'hôte gcr.io sont automatiquement redirigées vers un dépôt Artifact Registry correspondant, et les comptes de service par défaut ayant accès à Container Registry disposent d'autorisations par défaut équivalentes pour Artifact Registry.

Pour en savoir plus sur les différences entre Container Registry et Artifact Registry à l'aide d'un client Docker, consultez la page Modifications apportées à l'importation et à l'exportation avec Docker.

Utilisez ces informations pour vous aider à adapter les commandes, la configuration ou la documentation existantes axées sur Container Registry avec Cloud Build.

Avant de commencer

Ce document suppose que vous disposez des éléments suivants :

  1. Vous avez activé Artifact Registry dans votre projet.
  2. Vous avez activé l'API Cloud Build et l'API de tout autre service Google Cloud que vous utilisez avec Artifact Registry.

Modifications apportées au flux de travail

Lorsque vous utilisez Cloud Build avec Container Registry dans le même projet, le workflow se présente comme suit :

  1. Créez, taguez et transférez une image vers le dépôt avec Cloud Build, à l'aide d'un fichier Dockerfile ou d'un fichier de configuration de compilation.

    L'exemple suivant compile l'image my-image, lui ajoute le tag tag1, puis le transfère vers l'hôte gcr.io dans le projet my-project:

    gcloud builds submit --tag gcr.io/my-project/my-image:tag1
    
  2. les environnements d'exécution Google Cloud tels que Cloud Run et Google Kubernetes Engine extrait des images du registre.

    Par exemple, cette commande déploie l'image de l'étape précédente sur Cloud Run en tant que my-service.

    gcloud run deploy my-service --image gcr.io/my-project/my-image:tag1
    

Le workflow Container Registry combine les responsabilités de l'administrateur avec la création et le déploiement.

  • Lorsque vous activez certaines API Google Cloud, L'API Container Registry est activée automatiquement. Cela signifie que les utilisateurs de ces services ont un accès implicite à Container Registry dans le même projet. Par exemple, les utilisateurs autorisés à exécuter des compilations dans Cloud Build peuvent transférer des images vers des registres et ajouter des hôtes de registre par défaut.
  • Le compte de service Cloud Build dispose des autorisations nécessaires pour créer des buckets Cloud Storage. Cela signifie que le compte peut ajouter automatiquement des hôtes Container Registry à un projet la première fois qu'il transfère une image vers l'hôte. Cela signifie également que le compte peut créer, lire et écrire dans des buckets de stockage pour l'ensemble du projet ; y compris ceux qui ne sont pas utilisés par Container Registry.

Dans Artifact Registry, les rôles administrateur et des rôles de compilation qui modifient les étapes du workflow de compilation et de déploiement. Pour adapter le workflow Container Registry pour Artifact Registry, effectuez les opérations suivantes : des modifications. Chaque étape renvoie à des informations supplémentaires sur la modification du workflow.

  1. Nouveau : activez l'API Artifact Registry.

    Vous devez activer l'API Artifact Registry. Cloud Build et les environnements d'exécution tels que Cloud Run et GKE n'activent pas automatiquement l'API pour vous.

  2. Nouveau : créez le dépôt Docker cible s'il n'existe pas déjà. Vous devez créer un dépôt avant de pouvoir transférer des images vers Le transfert d'une image ne peut pas déclencher la création d'un dépôt, Le compte de service Cloud Build ne dispose pas des autorisations nécessaires pour créer des dépôts.

  3. Modifié: créer une image, lui ajouter des tags et la transférer vers le dépôt avec Cloud Build, à l'aide d'un Dockerfile ou d'un fichier de configuration de compilation.

    L'exemple de commande suivant est identique à celui de Container Registry, mais utilise un chemin d'accès de dépôt Artifact Registry pour l'image.

    gcloud builds submit --tag us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1
    
  4. Modifié : déployez l'image dans un environnement d'exécution Google Cloud tel que Cloud Run ou GKE.

    L'exemple de commande suivant est identique à celui de Container Registry, mais utilise le chemin d'accès du dépôt Artifact Registry pour l'image.

    gcloud run deploy my-service --image us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1
    

De plus, Artifact Registry utilise des rôles différents de ceux de Container Registry pour contrôler l'accès aux images. Vous devez configurer les autorisations. dans les situations suivantes:

  • Les environnements d'exécution Cloud Build ou Google Cloud se trouvent dans un projet différent d'Artifact Registry.
  • Vous utilisez des comptes de service personnalisés pour les services Google Cloud tels que Cloud Build ou GKE au lieu des comptes de service par défaut.
  • Vous avez accordé des autorisations à d'autres comptes utilisateur ou de service.

Activer l'API

Points essentiels :

La comparaison suivante décrit l'activation de l'API pour chaque service :

Container Registry

Lorsque vous activez les API Google Cloud suivantes, l'API Container Registry est également activée automatiquement :

  • Environnement flexible App Engine
  • Cloud Build
  • Cloud Run Functions
  • Cloud Run
  • Container Scanning ou On-Demand Scanning dans Artifact Analysis
  • Google Kubernetes Engine

Avec les autorisations par défaut, les utilisateurs autorisés à exécuter des compilations dans Cloud Build d'analyser les conteneurs avec Artifact Analysis ou de déployer des conteneurs Les environnements d'exécution Google Cloud ont implicitement accès aux images Container Registry lorsque le registre se trouve dans le même projet.

Artifact Registry

Vous devez activer l'API Artifact Registry. Services tels que comme Cloud Build, Cloud Run et GKE n'activent pas automatiquement l'API Artifact Registry.

Vous pouvez activer plusieurs API dans le même projet à l'aide de gcloud. Par exemple, pour activer l'API Cloud Build et API Artifact Registry, exécutez la commande suivante:

gcloud services enable
    artifactregistry.googleapis.com \
    cloudbuild.googleapis.com

Ajouter des registres et des dépôts

Points essentiels :

  • Vous devez créer un dépôt Docker Artifact Registry avant de transférer une image vers celui-ci.
  • Container Registry stocke toutes les images dans un emplacement multirégional unique au sein du même bucket de stockage. Dans Artifact Registry, vous pouvez créer plusieurs dépôts dans la même région ou dans plusieurs régions avec des règles d'accès distinctes.

La comparaison suivante décrit la configuration du dépôt dans chaque service:

Container Registry

Dans Container Registry, vous pouvez ajouter jusqu'à quatre hôtes de registre à votre projet. Pour ajouter un hôte de registre, transférez la première image.

  1. Pour ajouter un registre tel que gcr.io à votre projet, un compte disposant du rôle "Administrateur de l'espace de stockage" au niveau du projet envoie une image initiale.

    Par exemple, si l'hôte gcr.io n'existe pas dans le projet my-project, transfert de l'image gcr.io/my-project/my-image:1.0 : déclencheurs procédez comme suit:

    1. Ajouter l'hôte gcr.io au projet
    2. Créez un bucket de stockage pour gcr.io dans le projet.
    3. Stocker l'image en tant que gcr.io/my-project/my-image:1.0
  2. Après ce transfert initial, vous pouvez accorder des autorisations au bucket de stockage pour d'autres utilisateurs.

Par défaut, Cloud Build dispose des autorisations requises pour créer un bucket de stockage. Par conséquent, l'envoi initial de l'image et les envois suivants sont indiscernables.

Dans un projet, un hôte de registre stocke toutes les images dans le même espace de stockage. bucket. Dans l'exemple suivant, le projet my-project comporte deux images appelées web-app dans le registre gcr.io. L'une se trouve directement sous l'ID de projet my-project. L'autre image se trouve dans le dépôt team1.

gcr.io/my-project/web-app
gcr.io/my-project/team1/web-app

Artifact Registry

Cloud Build n'est pas autorisé à créer un dépôt standard sur le domaine pkg.dev d'Artifact Registry.

Un compte disposant du dépôt Artifact Registry Le rôle Administrateur doit créer le avant d'y transférer des images. Vous pouvez ensuite accorder des autorisations au dépôt pour d'autres utilisateurs.

Dans Artifact Registry, chaque dépôt est une ressource distincte. Par conséquent, tous les chemins d'accès des images doivent inclure un dépôt.

Chemins d'accès aux images valides :

us-central1-docker.pkg.dev/my-project/team1/web-app:1.0
us-central1-docker.pkg.dev/my-project/team2/web-app:1.0

Chemin d'accès à l'image non valide (ne comprend pas de dépôt) :

us-central1-docker.pkg.dev/my-project/web-app:1.0

Les exemples suivants montrent des situations où le transfert d'une image vers un dépôt manquant échoue.

  • Transférer une image vers us-central1-docker.pkg.dev/my-project/team1 si us-central1-docker.pkg.dev/my-project/team1 n'existe pas.
  • Transférer une image vers us-central1-docker.pkg.dev/my-project/team2 lorsque us-central1-docker.pkg.dev/my-project/team1 existe, mais us-central1-docker.pkg.dev/my-project/team2 n'existe pas.

Accord d'autorisations...

Points essentiels :

  • Les services Google Cloud disposent d'un accès en lecture ou en écriture équivalent aux deux Container Registry et Artifact Registry. Toutefois, le compte de service Cloud Build par défaut ne peut pas créer de dépôts standards sur le domaine pkg.dev.
  • Attribuez les rôles Artifact Registry appropriés aux autres comptes qui accèdent à Artifact Registry.
  • Container Registry prend en charge le contrôle des accès au niveau du bucket de stockage. Artifact Registry permet de contrôle des accès au niveau du dépôt.

La comparaison suivante décrit les autorisations pour chaque service:

Container Registry

Container Registry utilise les rôles Cloud Storage pour contrôler les accès. Cloud Build dispose des autorisations requises dans le rôle "Administrateur de l'espace de stockage" pour ajouter des hôtes Container Registry à un projet.

Lecteur des objets Storage au niveau du bucket de stockage
Extraire (lire) des images à partir d'hôtes de registre existants dans le projet
Rédacteur des anciens buckets de l'espace de stockage au niveau du bucket de stockage
Transférez (écriture) et extrayez (lecture) des images pour les hôtes de registre existants dans le projet.
Administrateur de l'espace de stockage au niveau du projet
Ajoutez un hôte de registre à un projet en transmettant une image initiale à l'hôte.

Après l'envoi initial de l'image vers un registre, vous accordez des rôles Cloud Storage aux autres comptes qui ont besoin d'accéder au bucket de stockage. Notez que tout compte disposant de toutes les autorisations du rôle "Storage Admin" peut lire, écrire et supprimer des buckets et des objets de stockage dans l'ensemble du projet.

Les autorisations d'un bucket de stockage s'appliquent à tous les dépôts du référentiel. Par exemple, tout utilisateur disposant des autorisations de lecteur des objets Storage bucket pour gcr.io/my-project peut lire les images de tous ces dépôts:

gcr.io/my-project/team1
gcr.io/my-project/team2
gcr.io/my-project/test
gcr.io/my-project/production

Artifact Registry

Artifact Registry dispose de ses propres rôles pour contrôler l'accès. Ces rôles permettent de séparer clairement les rôles d'administrateur et d'utilisateur de dépôt.

Cloud Build dispose des autorisations du rôle "Écrivain Artifact Registry", car il ne doit transférer et extraire que des images avec des dépôts standards sur le domaine pkg.dev.

Seuls les comptes qui gèrent des dépôts doivent disposer d'Artifact Registry Administrateur de dépôt ou Administrateur Artifact Registry.

Lecteur Artifact Registry
Répertorier les artefacts et les dépôts. Téléchargez les artefacts.
Rédacteur Artifact Registry
Répertorier les artefacts et les dépôts. Télécharger des artefacts, importer un nouvel artefact versions, et ajouter ou mettre à jour des tags.
Administrateur de dépôts Artifact Registry
Autorisations "Rédacteur Artifact Registry" et autorisations de suppression les artefacts et les tags.
Administrateur Artifact Registry
Autorisations d'administrateur de dépôt Artifact Registry et autorisations de créer, mettre à jour, supprimer et accorder des autorisations aux dépôts.

Vous pouvez appliquer ces autorisations au niveau du dépôt. Exemple :

  • Accorder l'accès à l'équipe 1 pour us-central1-docker.pkg.dev/my-project/team1
  • Accorder l'accès à l'équipe 2 pour us-central1-docker.pkg.dev/my-project/team2.

Pour en savoir plus sur l'octroi d'autorisations Artifact Registry, consultez la documentation sur le contrôle des accès.

Créer et transférer des images

Points essentiels :

  • Vous devez créer un dépôt Docker Artifact Registry avant de transférer une image.
  • Les noms d'hôte Artifact Registry sont différents des noms d'hôte Container Registry.

Cloud Build peut créer, taguer et transférer une image en une seule étape.

Avec Container Registry, Cloud Build peut transférer une image vers un hôte de registre qui n'existe pas encore dans le projet Google Cloud. Pour cette image push initiale, Cloud Build est autorisé à ajouter l'hôte de registre au projet.

Pour adapter un workflow Container Registry :

  1. Configurez vos dépôts avant de les transférer.
  2. Mettez à jour les chemins d'accès des images dans votre fichier de configuration de compilation ou de compilation, ou dans gcloud builds submit commandes.

Compiler avec un fichier de configuration de compilation

Remplacez les chemins d'accès Container Registry des images que vous créez par le chemin d'accès à un dépôt Artifact Registry existant.

L'exemple de fichier cloudbuild.yaml suivant compile l'image us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1:

steps:
- name: 'gcr.io/cloud-builders/docker'
  args: [ 'build', '-t', 'us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1', '.' ]
images:
- 'us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1'

Vous pouvez ensuite créer l'image avec la commande suivante :

gcloud builds submit --config cloudbuild.yaml

Compiler avec un fichier Dockerfile

Remplacez les chemins d'accès Container Registry des images que vous compilez avec le vers un dépôt Artifact Registry existant.

L'exemple de commande suivant compile l'image us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1 avec un Dockerfile dans le répertoire actuel:

gcloud builds submit --tag us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1

Déployer des images

Point essentiel :

  • Les noms d'hôte Artifact Registry sont différents des noms d'hôte Container Registry.

Pour adapter un workflow Container Registry, mettez à jour les chemins d'image dans votre configuration de déploiement et vos commandes de déploiement. Les sections suivantes présentent des exemples pour Cloud Build, Cloud Run et GKE, mais la même approche s'applique à tous les autres services Google Cloud qui déploient des images.

Cloud Build

Remplacez les chemins d'accès Container Registry des images que vous déployez par le chemin d'accès à un dépôt Artifact Registry existant.

L'exemple de fichier cloudbuild.yaml suivant déploie l'exemple d'image us-docker.pkg.dev/cloudrun/container/hello

steps:
- name: 'gcr.io/cloud-builders/gcloud'
  args:
  - 'run'
  - 'deploy'
  - 'cloudrunservice'
  - '--image'
  - 'us-docker.pkg.dev/cloudrun/container/hello'
  - '--region'
  - 'us-central1'
  - '--platform'
  - 'managed'
  - '--allow-unauthenticated'

Cloud Run

Remplacez les chemins d'accès Container Registry des images que vous déployez par le chemin d'accès à un dépôt Artifact Registry existant.

Par exemple, cette commande déploie l'exemple d'image us-docker.pkg.dev/cloudrun/container/hello.

gcloud run deploy my-service --image us-docker.pkg.dev/cloudrun/container/hello

GKE

Remplacez les chemins d'accès Container Registry des images que vous compilez avec le vers un dépôt Artifact Registry existant.

Les exemples suivants pour Artifact Registry utilisent l'exemple d'image us-docker.pkg.dev/artifact-registry-samples/containers/gke/hello-app:1.0

Créer un cluster à partir de la ligne de commande:

kubectl create deployment hello-server --image=us-docker.pkg.dev/artifact-registry-samples/containers/gke/hello-app:1.0

Spécifier une image dans un fichier manifeste de déploiement:

In a deployment manifest:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
spec:
  replicas: 3
  selector:
    matchLabels:
      run: my-app
  template:
    metadata:
      labels:
        run: my-app
    spec:
      containers:
      - name: hello-app
        image: us-docker.pkg.dev/artifact-registry-samples/containers/gke/hello-app:1.0