本文档介绍了使用 Cloud Build 构建容器映像并将其部署到 Google Cloud 运行时环境(例如 Cloud Run 或 Google Kubernetes Engine)时,Container Registry 和 Artifact Registry 之间的区别。
本指南主要比较标准 Artifact Registry 代码库,以及独立于 Container Registry 且支持所有 Artifact Registry 功能的常规 Artifact Registry 代码库。如果您的管理员为代码库设置了 gcr.io 网域支持,则对 gcr.io 主机名的请求会自动重定向到相应的 Artifact Registry 代码库,有权访问 Container Registry 的默认服务帐号具有与 Artifact Registry 的等效默认权限。
如需了解使用 Docker 客户端的 Container Registry 和 Artifact Registry 之间的区别,请参阅使用 Docker 推送和拉取的变更。
使用此信息,借助 Cloud Build 调整 Container Registry 的现有命令、配置或文档。
准备工作
本文档假定您满足以下条件:
- 在您的项目中启用了 Artifact Registry。
- 为与 Artifact Registry 搭配使用的任何其他 Google Cloud 服务启用了 Cloud Build API 和该 API。
对工作流的更改
当您在同一项目中将 Cloud Build 与 Container Registry 搭配使用时,工作流如下所示:
使用
Dockerfile或构建配置文件通过 Cloud Build 构建映像、标记映像并将其推送到代码库。以下示例会构建映像
my-image,使用tag1标记该映像,并将其推送到项目my-project中的主机gcr.io:gcloud builds submit --tag gcr.io/my-project/my-image:tag1Google Cloud 运行时环境(例如 Cloud Run 和 Google Kubernetes Engine)会从注册表中拉取映像。
例如,此命令会将上一步中的映像作为
my-service部署到 Cloud Run。gcloud run deploy my-service --image gcr.io/my-project/my-image:tag1
Container Registry 工作流将管理员责任与构建和部署相结合。
- 当您启用某些 Google Cloud API 时,系统会自动启用 Container Registry API。这意味着这些服务的用户对于同一项目中的 Container Registry 具有隐式访问权限。例如,可以在 Cloud Build 中运行构建的用户可以将映像推送到注册表并添加注册表主机。
- Cloud Build 服务帐号具有创建 Cloud Storage 存储分区的权限。这意味着,该帐号可以在首次将映像推送到主机时,自动将 Container Registry 主机添加到项目中。这也意味着该帐号可以在整个项目中创建、读取和写入存储分区,包括 Container Registry 未使用的存储分区。
在 Artifact Registry 中,管理员和构建角色明确分离,这可以改变构建和部署工作流中的步骤。如需针对 Artifact Registry 调整 Container Registry 工作流,请进行以下更改。每个步骤都链接到有关修改工作流的其他信息。
新版:启用 Artifact Registry API。
您必须启用 Artifact Registry API。Cloud Build 和运行时环境(如 Cloud Run 和 GKE)不会自动启用 API。
New:创建目标 Docker 代码库(如果尚不存在)。您必须先创建代码库,然后才能向其推送任何映像。推送映像无法触发代码库的创建,并且 Cloud Build 服务帐号无权创建代码库。
已更改:使用
Dockerfile或 build 配置文件,通过 Cloud Build 构建、标记和推送映像到代码库。以下示例命令与 Container Registry 示例相同,但使用了映像的 Artifact Registry 代码库路径。
gcloud builds submit --tag us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1已更改:将映像部署到 Google Cloud 运行时环境,例如 Cloud Run 或 GKE。
以下示例命令与 Container Registry 示例相同,但使用了映像的 Artifact Registry 代码库路径。
gcloud run deploy my-service --image us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1
此外,Artifact Registry 使用与 Container Registry 不同的角色来控制对映像的访问权限。在以下情况下,您需要配置权限:
- Cloud Build 或 Google Cloud 运行时环境与 Artifact Registry 位于不同的项目中。
- 您对 Google Cloud 服务(如 Cloud Build 或 GKE)使用自定义服务帐号,而不是使用默认服务帐号。
- 您已向其他用户或服务账号授予权限。
启用 API
要点:
- 除了为其他 Google Cloud 服务(例如 Cloud Build、Cloud Run 和 GKE)启用的 API 之外,您还必须启用 Artifact Registry API。
以下比较显示了为每项服务启用 API 的过程:
Container Registry
启用以下 Google Cloud API 时,Container Registry API 也会自动启用:
- App Engine 柔性环境
- Cloud Build
- Cloud Functions
- Cloud Run
- Artifact Analysis 中的容器扫描或按需扫描
- Google Kubernetes Engine
使用默认权限时,可以在 Cloud Build 中运行构建、使用 Artifact Analysis 扫描容器或将容器部署到 Google Cloud 运行时的用户隐式访问 Container Registry 中的映像(如果注册表位于同一项目中)。
Artifact Registry
您必须启用 Artifact Registry API。Cloud Build、Cloud Run 和 GKE 等服务不会自动启用 Artifact Registry API。
您可以使用 gcloud 在同一项目中启用多个 API。例如,如需启用 Cloud Build API 和 Artifact Registry API,请运行以下命令:
gcloud services enable
artifactregistry.googleapis.com \
cloudbuild.googleapis.com
添加注册表和代码库
要点:
- 您必须先创建 Artifact Registry Docker 代码库,然后才能向其推送映像。
- Container Registry 将单个多区域中的所有映像存储在同一个存储桶中。在 Artifact Registry 中,您可以使用单独的访问权限政策在同一区域或多区域创建多个代码库。
以下比较说明了每项服务中的代码库设置:
Container Registry
在 Container Registry 中,您最多可以向项目添加四个注册表主机。您可以通过推送第一个映像来添加注册表主机。
如需向您的项目添加注册表(如
gcr.io),具有项目级 Storage Admin 角色的帐号会推送初始映像。例如,如果项目
my-project中不存在gcr.io主机,则推送映像gcr.io/my-project/my-image:1.0会触发以下步骤:- 将
gcr.io主机添加到项目中 - 为项目中的
gcr.io创建一个存储桶。 - 将图片存储为
gcr.io/my-project/my-image:1.0
- 将
初次推送之后,您可以为其他用户授予对存储桶的权限。
默认情况下,Cloud Build 具有创建存储桶所需的权限,因此初始映像推送和后续推送无法区分。
在项目中,注册表主机将所有映像存储在同一个存储桶中。在以下示例中,项目 my-project 在注册表 gcr.io 中有两个名为 web-app 的映像。一个项目直接位于项目 ID my-project 下。另一个映像位于代码库 team1 中。
gcr.io/my-project/web-app
gcr.io/my-project/team1/web-app
Artifact Registry
Cloud Build 无权在 Artifact Registry pkg.dev 网域上创建标准代码库。
具有 Artifact Registry Repository Administrator 角色的帐号必须先创建代码库,然后才能将映像推送到该代码库。然后,您可以为其他用户授予对代码库的权限。
在 Artifact Registry 中,每个代码库都是单独的资源。因此,所有映像路径都必须包含代码库。
有效的映像路径:
us-central1-docker.pkg.dev/my-project/team1/web-app:1.0
us-central1-docker.pkg.dev/my-project/team2/web-app:1.0
映像路径无效(不包含代码库):
us-central1-docker.pkg.dev/my-project/web-app:1.0
以下示例展示了将映像推送到缺失的代码库失败的情况。
- 如果
us-central1-docker.pkg.dev/my-project/team1不存在,则将映像推送到us-central1-docker.pkg.dev/my-project/team1。 - 当
us-central1-docker.pkg.dev/my-project/team1存在但us-central1-docker.pkg.dev/my-project/team2不存在时,将映像推送到us-central1-docker.pkg.dev/my-project/team2。
授予权限
要点:
- Google Cloud 服务对 Container Registry 和 Artifact Registry 具有等效的读写权限。但是,默认的 Cloud Build 服务帐号无法在
pkg.dev网域上创建标准代码库。 - 向访问 Artifact Registry 的其他帐号授予适当的 Artifact Registry 角色。
- Container Registry 支持在存储桶层级进行访问权限控制。 Artifact Registry 支持代码库层级的访问权限控制。
以下比较说明了每项服务的权限:
Container Registry
Container Registry 使用 Cloud Storage 角色来控制访问权限。 Cloud Build 拥有 Storage Admin 角色所需的权限,可以将 Container Registry 主机添加到项目中。
- 存储桶级 Storage Object Viewer
- 从项目中的现有注册表主机拉取(读取)映像。
- 存储桶级存储空间旧存储桶写入者
- 为项目中的现有注册表主机推送(写入)和拉取(读取)映像。
- 项目级的 Storage Admin
- 通过将初始映像推送到主机,将注册表主机添加到项目中。
在将映像最初推送到注册表后,您可以向需要访问该存储桶的其他帐号授予 Cloud Storage 角色。请注意,具有 Storage Admin 角色所有权限的任何帐号都可以在整个项目中读取、写入和删除存储分区及存储对象。
针对存储桶的权限适用于注册表中的所有代码库。例如,对 gcr.io/my-project 的存储桶具有 Storage Object Viewer 权限的任何用户都可以读取以下所有代码库中的图片:
gcr.io/my-project/team1
gcr.io/my-project/team2
gcr.io/my-project/test
gcr.io/my-project/production
Artifact Registry
Artifact Registry 有自己的角色来控制访问权限。这些角色明确区分管理员和代码库用户角色。
Cloud Build 具有 Artifact Registry Writer 角色的权限,因为它只需要在 pkg.dev 网域上通过标准代码库推送和拉取映像。
只有管理代码库的帐号才应具有 Artifact Registry Repository Administrator 或 Artifact Registry Administrator 角色。
- Artifact Registry Reader
- 列出工件和代码库。下载工件。
- Artifact Registry Writer
- 列出工件和代码库。下载工件、上传新的工件版本,以及添加或更新标记。
- Artifact Registry Repository Administrator
- Artifact Registry Writer 权限和删除工件和标记的权限。
- Artifact Registry Administrator
- Artifact Registry Repository Administrator 权限,以及创建、更新、删除代码库和向其授予权限的权限。
您可以在代码库级别应用这些权限。例如:
- 向团队 1 授予
us-central1-docker.pkg.dev/my-project/team1的访问权限 - 向团队 2 授予
us-central1-docker.pkg.dev/my-project/team2的访问权限。
如需详细了解如何授予 Artifact Registry 权限,请参阅访问权限控制文档。
构建和推送映像
要点:
- 您必须先创建 Artifact Registry Docker 代码库,然后才能向其推送映像。
- Artifact Registry 主机名与 Container Registry 主机名不同。
Cloud Build 只需一步即可构建、标记和推送映像。
借助 Container Registry,Cloud Build 可以成功将映像推送到 Google Cloud 项目中尚不存在的注册表主机。对于此初始映像推送,Cloud Build 有权自动将注册表主机添加到项目中。
如需调整 Container Registry 工作流,请执行以下操作:
- 请先设置代码库,然后再将映像推送到代码库。
- 更新您的或构建配置文件或
gcloud builds submit命令中的映像路径。
使用构建配置文件进行构建
将您构建的映像的 Container Registry 路径替换为现有 Artifact Registry 代码库的路径。
以下示例 cloudbuild.yaml 文件会构建映像 us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1:
steps:
- name: 'gcr.io/cloud-builders/docker'
args: [ 'build', '-t', 'us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1', '.' ]
images:
- 'us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1'
然后,您可以使用以下命令构建映像:
gcloud builds submit --config cloudbuild.yaml
使用 Dockerfile 进行构建
将您构建的映像的 Container Registry 路径替换为现有 Artifact Registry 代码库的路径。
以下示例命令会在当前目录中使用 Dockerfile 构建映像 us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1:
gcloud builds submit --tag us-central1-docker.pkg.dev/my-project/my-repo/my-image:tag1
部署映像
要点:
- Artifact Registry 主机名与 Container Registry 主机名不同。
如需调整 Container Registry 工作流,请更新部署配置和部署命令中的映像路径。以下各部分显示了 Cloud Build、Cloud Run 和 GKE 的示例,但同样的方法也适用于部署映像的任何其他 Google Cloud 服务。
Cloud Build
将所部署映像的 Container Registry 路径替换为现有 Artifact Registry 代码库的路径。
以下示例 cloudbuild.yaml 文件会部署示例映像 us-docker.pkg.dev/cloudrun/container/hello。
steps:
- name: 'gcr.io/cloud-builders/gcloud'
args:
- 'run'
- 'deploy'
- 'cloudrunservice'
- '--image'
- 'us-docker.pkg.dev/cloudrun/container/hello'
- '--region'
- 'us-central1'
- '--platform'
- 'managed'
- '--allow-unauthenticated'
Cloud Run
将所部署映像的 Container Registry 路径替换为现有 Artifact Registry 代码库的路径。
例如,此命令会部署示例映像 us-docker.pkg.dev/cloudrun/container/hello。
gcloud run deploy my-service --image us-docker.pkg.dev/cloudrun/container/hello
GKE
将您构建的映像的 Container Registry 路径替换为现有 Artifact Registry 代码库的路径。
以下 Artifact Registry 示例使用示例映像 us-docker.pkg.dev/artifact-registry-samples/containers/gke/hello-app:1.0。
通过命令行创建集群:
kubectl create deployment hello-server --image=us-docker.pkg.dev/artifact-registry-samples/containers/gke/hello-app:1.0
在部署清单中指定映像:
In a deployment manifest:
apiVersion: apps/v1
kind: Deployment
metadata:
name: my-app
spec:
replicas: 3
selector:
matchLabels:
run: my-app
template:
metadata:
labels:
run: my-app
spec:
containers:
- name: hello-app
image: us-docker.pkg.dev/artifact-registry-samples/containers/gke/hello-app:1.0