In diesem Dokument wird die manuelle Einrichtung von gcr.io
-Repositories in
Artifact Registry.
Wir empfehlen die Verwendung unseres automatischen Migrationstools, um
Umstellung auf gcr.io
-Repositories in Artifact Registry.
Wenn Sie gcr.io
-Repositories in Artifact Registry mit folgendem Befehl erstellen möchten:
vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs), dann
führen Sie die Schritte unter Vorbereitung aus und folgen Sie dann
die Anleitung unter Manuelle Repository-Erstellung.
Hinweise
Installieren Sie die Google Cloud CLI, falls sie noch nicht installiert ist. installiert haben. Führen Sie bei einer vorhandenen Installation den folgenden Befehl aus, um Komponenten auf die neuesten Versionen zu aktualisieren:
gcloud components update
Aktivieren Sie die Artifact Registry API und die Resource Manager API. Die gcloud CLI verwendet die Resource Manager API, um nach einem der die erforderlichen Berechtigungen haben.
Führen Sie dazu diesen Befehl aus:
gcloud services enable \ cloudresourcemanager.googleapis.com \ artifactregistry.googleapis.com
Informieren Sie sich vorab über die Preise für Artifact Registry beginnen Sie mit dem Übergang.
Erforderliche Rollen
So erhalten Sie die Berechtigungen, die Sie zum Einrichten von gcr.io
-Repositories benötigen:
bitten Sie Ihren Administrator, Ihnen
folgenden IAM-Rollen:
-
So erstellen Sie Artifact Registry-Repositories und gewähren Zugriff auf einzelne Repositories:
Artifact Registry Administrator (
roles/artifactregistry.admin
) für das Google Cloud-Projekt -
So rufen Sie die vorhandene Container Registry-Konfiguration auf, die auf Cloud Storage-Storage-Buckets angewendet wurde:
Storage-Administrator (
roles/storage.admin
) im Google Cloud-Projekt -
So erstellen Sie ein
gcr.io
-Repository, wenn Sie ein Image zum ersten Mal per Push an einengcr.io
-Hostnamen übertragen: Artifact Registry – Create-on-Push-Autor (roles/artifactregistry.createOnPushWriter
) im Google Cloud-Projekt -
So gewähren Sie Repositoryzugriff auf Projektebene:
Project IAM Admin (
roles/resourcemanager.projectIamAdmin
) für das Google Cloud-Projekt -
So listen Sie aktivierte Dienste in einer Organisation auf:
Cloud-Asset-Betrachter (
roles/cloudasset.viewer
) für das Unternehmen
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Beschränkungen
Für gcr.io
-Repositories von Artifact Registry gelten die folgenden Einschränkungen:
- Bei der Umstellung von Container Registry können Sie kein Container Registry zuordnen. in einem Artifact Registry-Repository in einem anderen Projekt gehostet werden.
- Jeder Container Registry-Hostname ist nur einem zugehörigen
Artifact Registry-
gcr.io
-Repository in derselben Multiregion. - Die Namen für
gcr.io
-Repositories sind vordefiniert und können nicht geändert werden.
Wenn Sie mehr Kontrolle über den Standort Ihrer Repositories benötigen, können Sie
Umstellung auf Standard-Repositories in Artifact Registry
pkg.dev
-Domain. Da Standard-Repositories den Parameter
gcr.io
-Domain, für diesen Umstellungsansatz sind weitere Änderungen an Ihren bestehenden
Automatisierung und Workflows. Weitere Informationen finden Sie unter [Umstellungsoption auswählen][Optionen].
Funktionsunterschiede.
Repositories erstellen
Erstellen Sie gcr.io
-Repositories, damit Sie den Zugriff für Ihre Nutzer und
Vorhandene Container Registry-Images vor der Aktivierung in Artifact Registry kopieren
Weiterleitung.
Schnelle Repository-Erstellung
Wenn Sie die vom Kunden verwaltete Verschlüsselung verwenden möchten
Schlüssel (CMEK) haben, müssen Sie Repositories erstellen
manuell. Andernfalls können Sie diese Schritte ausführen, um gcr.io
Repositories, die mit Google-eigenen und von Google verwalteten Schlüsseln verschlüsselt sind.
So erstellen Sie gcr.io
-Repositories:
Öffnen Sie in der Cloud Console die Seite Repositories.
Auf der Seite wird die Nachricht in einem Banner
You have gcr.io repositories in Container Registry
Öffnen Sie in Artifact Registry die Einstellungen.
Klicken Sie im Banner auf
gcr.io
Repositories erstellen.Der Bereich
gcr.io
-Repositories erstellen wird geöffnet. Die Seite Bilder kopieren die voll qualifizierten Namen jedes Repositorys aufgeführt, erstellt. Sie benötigen diese Repository-Namen, wenn Sie Images aus Container Registry kopieren möchten, bevor Sie die Weiterleitung aktivieren.Klicken Sie auf Erstellen.
Artifact Registry erstellt gcr.io
-Repositories für alle Container Registry
Hostnamen:
Container Registry-Hostname | Artifact Registry-Repository-Name |
---|---|
gcr.io | gcr.io |
asia.gcr.io | asia.gcr.io |
eu.gcr.io | eu.gcr.io |
us.gcr.io | us.gcr.io |
Wenn Sie die Artifact Registry-URL für das Repository aufrufen möchten, halten Sie den Mauszeiger auf das Warnsymbol () neben dem Repository-Namen.
Bevor Sie Traffic zu Ihren neuen Repositories weiterleiten, müssen Sie prüfen, ob die vorhandene Automatisierung auf das Repository zugreifen kann. Im nächsten Schritt konfigurieren Berechtigungen, um Zugriff auf Repositories zu gewähren.
Manuelle Repository-Erstellung
Erstellen Sie gcr.io
-Repositories manuell, wenn Sie sie verwenden möchten
Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) zum Verschlüsseln
oder wenn eine Standortbeschränkung in Ihrem
Google Cloud-Organisation, die das Erstellen neuer Ressourcen in
an bestimmten Standorten suchen.
So erstellen Sie manuell ein gcr.io
-Repository:
Wenn Sie CMEK verwenden, erstellen Sie den Schlüssel, den Sie mit diesem Repository verwenden werden und erteilen Sie Berechtigungen zur Verwendung des Schlüssels. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel aktivieren
Fügen Sie das Repository hinzu:
Console
Öffnen Sie in der Cloud Console die Seite Repositories.
Klicken Sie auf Repository erstellen.
Geben Sie den Repository-Namen an.
Container Registry-Hostname Artifact Registry-Repository-Name gcr.io gcr.io asia.gcr.io asia.gcr.io eu.gcr.io eu.gcr.io us.gcr.io us.gcr.io Geben Sie Docker als Repository-Format an.
Geben Sie unter Standorttyp den multiregionalen Standort für das Repository an:
Container Registry-Hostname Speicherort des Artifact Registry-Repositorys Artifact Registry-Repository-Name gcr.io us gcr.io asia.gcr.io Asien asia.gcr.io eu.gcr.io Europa eu.gcr.io us.gcr.io us us.gcr.io Fügen Sie eine Beschreibung für das Repository hinzu. Geben Sie keine vertraulichen Daten an, da Repository-Beschreibungen nicht verschlüsselt werden.
Wählen Sie im Abschnitt Verschlüsselung den Verschlüsselungsmechanismus für das Repository aus.
- Von Google verwalteter Schlüssel: Repository-Inhalte verschlüsseln mit einer Google-eigener und von Google verwalteter Schlüssel.
- Vom Kunden verwalteter Schlüssel: Verschlüsselung des Repository-Inhalts mit einem Schlüssel, den Sie über Cloud Key Management Service steuern. Eine grundlegende Einrichtungsanleitung finden Sie unter Vom Kunden verwalteten Schlüssel für Repositories einrichten.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um ein neues Repository zu erstellen:
gcloud artifacts repositories create REPOSITORY \ --repository-format=docker \ --location=LOCATION \ --description=DESCRIPTION \ --kms-key=KMS-KEY
Ersetzen Sie die folgenden Werte:
REPOSITORY ist der Name des Repositorys.
Container Registry-Hostname Artifact Registry-Repository-Name gcr.io gcr.io asia.gcr.io asia.gcr.io eu.gcr.io eu.gcr.io us.gcr.io us.gcr.io LOCATION ist die Multiregion für das Repository:
Container Registry-Hostname Speicherort des Artifact Registry-Repositorys Artifact Registry-Repository-Name gcr.io us gcr.io asia.gcr.io Asien asia.gcr.io eu.gcr.io Europa eu.gcr.io us.gcr.io us us.gcr.io DESCRIPTION ist eine Beschreibung des Repositorys. Das sollten Sie nicht tun: enthalten sensible Daten, da Repository-Beschreibungen nicht verschlüsselt sind.
KMS-KEY ist der vollständige Pfad zur Cloud KMS-Verschlüsselung. Schlüssel, wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden um Repository-Inhalte zu verschlüsseln. Der Pfad hat folgendes Format:
projects/KMS-PROJECT/locations/KMS-LOCATION/keyRings/KEY-RING/cryptoKeys/KEY
Ersetzen Sie die folgenden Werte:
- KMS-PROJECT ist das Projekt, in dem Ihr Schlüssel gespeichert ist.
- KMS-LOCATION ist der Speicherort des Schlüssels.
- KEY-RING ist der Name des Schlüsselbunds.
- KEY ist der Name des Schlüssels.
Sie können prüfen, ob das Repository erstellt wurde, indem Sie Ihre Repositories auflisten mit dem folgenden Befehl:
gcloud artifacts repositories list
Bevor Sie Traffic zu Ihren neuen Repositories weiterleiten, müssen Sie prüfen, ob die vorhandene Automatisierung auf das Repository zugreifen kann. Im nächsten Schritt konfigurieren Sie Berechtigungen, um Zugriff auf Repositories zu gewähren.
Berechtigungen für Repositories erteilen
Container Registry verwendet Cloud Storage-Rollen, um den Zugriff zu steuern. Artifact Registry hat eine eigene IAM-Rolle Rollen und diese Rollen Lese-, Schreib- und Repository-Verwaltungsrollen deutlicher Container Registry.
Vorhandene Berechtigungen für Storage-Buckets schnell vorgeschlagenen Berechtigungen zuordnen Für Artifact Registry-Rollen verwenden Sie das Rollenzuordnungstool.
Alternativ können Sie eine Liste der Hauptkonten mit Zugriff auf den Speicher aufrufen Buckets mithilfe der Google Cloud Console.
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie auf den Storage-Bucket für den Registry-Host, den Sie aufrufen möchten. In den Bucket-Namen ist
PROJECT-ID
Ihr Google Cloud Projekt-ID.- gcr.io:
artifacts.PROJECT-ID.appspot.com
- asia.gcr.io:
asia.artifacts.PROJECT-ID.appspot.com
- eu.gcr.io:
eu.artifacts.PROJECT-ID.appspot.com
- us.gcr.io:
us.artifacts.PROJECT-ID.appspot.com
- gcr.io:
Klicken Sie auf den Tab Berechtigungen.
Klicken Sie auf dem Tab "Berechtigungen" auf den Unter-Tab Nach Rolle ansehen.
Maximieren Sie eine Rolle, um die Hauptkonten anzusehen, denen diese Rolle zugewiesen ist.
Die Liste enthält IAM-Rollen, die direkt für den Bucket gewährt wurden, und Rollen, die vom übergeordneten Projekt übernommen wurden. Je nach Rolle können Sie die am besten zu gewährende Artifact Registry-Rolle.
- Cloud Storage und einfache Rollen
Nutzern und Dienstkonten gewähren, die derzeit auf Container Registry zugreifen mit Zugriff auf Artifact Registry-Repositories. Für Cloud Storage vom übergeordneten Projekt übernommen haben, sollten Sie überprüfen, verwendet derzeit Container Registry. Einige Hauptkonten greifen möglicherweise nur auf andere Cloud Storage-Buckets zu, die nichts mit Container Registry zu tun haben.
Die einfachen Rollen „Inhaber“, „Bearbeiter“ und „Betrachter“, die es schon vor der Einführung von IAM gab, haben einen eingeschränkten Zugriff auf Speicher-Buckets. Sie gewähren nicht grundsätzlich den gesamten Zugriff auf Cloud Storage Ressourcen, die ihr Name andeuten, und bieten zusätzliche Berechtigungen für andere Google Cloud-Dienste. Prüfen Sie, welche Nutzer und Dienstkonten Zugriff auf die Artifact Registry benötigen, und verwenden Sie die Tabelle Rollenzuordnung, um die richtigen Rollen zu gewähren, wenn der Zugriff auf die Artifact Registry erforderlich ist.
In der folgenden Tabelle werden Artifact Registry-Rollen anhand der Berechtigungen zugeordnet, die von vordefinierte Cloud Storage-Rollen für den Zugriff auf Container Registry.
Erforderlicher Zugriff Aktuelle Rolle Artifact Registry-Rolle Wo wird die Rolle gewährt? Nur Bilder abrufen (schreibgeschützt) Storage-Objekt-Betrachter
(roles/storage.objectViewer
)Artifact Registry-Leser
(roles/artifactregistry.reader)
Artifact Registry-Repository oder Google Cloud-Projekt - Images hoch- und herunterladen (Lese- und Schreibzugriff)
- Bilder löschen
Autor alter Storage-Buckets
(roles/storage.legacyBucketWriter
)Artifact Registry-Repository-Administrator
(roles/artifactregistry.repoAdmin)
Artifact Registry-Repository oder Google Cloud-Projekt gcr.io-Repository in Artifact Registry erstellen, wenn ein Image zum ersten Mal wird an einen gcr.io-Hostnamen in einem Projekt gesendet. Storage Admin
(roles/storage.admin
)Artifact Registry-Repository-Administrator für Erstellung und Push-Funktion
(roles/artifactregistry.createOnPushRepoAdmin)
Google Cloud-Projekt Repositories erstellen, verwalten und löschen Storage-Administrator
(roles/storage.admin
)Artifact Registry-Administrator
(roles/artifactregistry.Admin)
Google Cloud-Projekt - Vom Projekt übernommene Dienst-Agent-Rollen
Standarddienstkonten für Google Cloud-Dienste haben eigene die auf Projektebene gewährt wurden. Zum Beispiel der Dienst-Agent für Cloud Run hat die Rolle „Cloud Run-Dienst-Agent“.
In den meisten Fällen enthalten diese Dienst-Agent-Rollen entsprechende Standardberechtigungen für Container Registry und Artifact Registry. Sie müssen keine zusätzlichen Änderungen vornehmen, wenn Sie Artifact Registry im selben Projekt wie Ihren vorhandenen Container Registry-Dienst ausführen.
Weitere Informationen finden Sie im Rollenreferenz für Dienst-Agent für Details zu den Berechtigungen in Dienst-Agent-Rollen.
- Benutzerdefinierte Rollen
Anhand der Tabelle Rollenzuordnung können Sie sich für die Rolle, die Nutzern oder Dienstkonten je nach Zugriffsebene zugewiesen werden soll die sie benötigen.
Eine Anleitung zum Gewähren von Artifact Registry-Rollen finden Sie unter Konfigurieren Sie Rollen und Berechtigungen.
Container aus Container Registry kopieren
Wir empfehlen die Verwendung unseres automatischen Migrationstools, um von Container Registry zu Artifact Registry übertragen können.
Wenn Sie zum Kopieren Ihrer Images andere Tools verwenden möchten, lesen Sie den Hilfeartikel Images aus Container Registry kopieren.
Weitere Funktionen einrichten
In diesem Abschnitt wird die Konfiguration weiterer Funktionen beschrieben, die Sie möglicherweise festgelegt haben. in Container Registry hochladen.
Artefaktanalyse
Die Artefaktanalyse unterstützt beides Container Registry und Artifact Registry. Beide Produkte verwenden dieselben Artifact Analysis APIs für Bildmetadaten und das Scannen auf Sicherheitslücken sowie dieselben Pub/Sub-Themen für Artifact Analysis-Benachrichtigungen.
Die folgenden Aktionen werden jedoch nur ausgeführt, wenn die Weiterleitung aktiviert ist:
- Automatisches Scannen von
gcr.io
Repositories in Artifact Registry. gcr.io
-Repositoryaktivitäten in Pub/Sub-Benachrichtigungen einschließen
Sie können weiterhin gcloud container images
Befehle zum Auflisten von Hinweisen und Vorkommen, die mit gcr.io
-Image-Pfaden verknüpft sind.
Container Registry | Artifact Registry |
---|---|
Scannt nach Sicherheitslücken in Betriebssystem- und Sprachpaketen mit On-Demand-Scans
in Images mit einem unterstützten Betriebssystem. Beim automatischen Scannen wird nur das Betriebssystem zurückgegeben
Informationen zu Sicherheitslücken.
Weitere Informationen zu den verschiedenen Arten von
Scannen.
|
Scannt nach Sicherheitslücken in Betriebssystem- und Sprachpaketen mit On-Demand- und
automatisches Scannen.
Weitere Informationen zu den verschiedenen Arten von
Scannen.
|
Pub/Sub-Benachrichtigungen
Artifact Registry veröffentlicht Änderungen an demselben gcr
-Thema wie Container Registry. Wenn Sie Pub/Sub bereits mit Container Registry im selben Projekt wie Artifact Registry verwenden, ist keine zusätzliche Konfiguration erforderlich. Artifact Registry veröffentlicht jedoch nicht
Nachrichten für gcr.io
Repositories senden, bis Sie die Weiterleitung aktivieren.
Wenn Sie Artifact Registry in einem separaten Projekt einrichten, ist das Thema gcr
möglicherweise nicht vorhanden. Anleitungen zur Einrichtung finden Sie unter Pub/Sub-Benachrichtigungen konfigurieren.
Weiterleitung von gcr.io
-Zugriffen aktivieren
Nachdem Sie Ihre gcr.io
-Repositories erstellt haben
und konfigurierte Berechtigungen und die Authentifizierung für Ihr
Drittanbieter-Clients verwenden, können Sie die Weiterleitung von gcr.io
-Traffic aktivieren.
Wenn nach der Aktivierung der Weiterleitung ein Problem auftritt, können Sie den Traffic zurück zu Container Registry leiten, indem Sie den Befehl gcloud artifacts settings enable-upgrade-redirection
ausführen. Wenn Sie das Problem behoben haben, können Sie die Weiterleitung wieder aktivieren.
Berechtigungen zum Aktivieren der Weiterleitung überprüfen
Um die Weiterleitung zu aktivieren, benötigen Sie die folgenden Berechtigungen auf Projektebene:
artifactregistry.projectsettings.update
– Berechtigungen zum Aktualisieren Artifact Registry-Projekteinstellungen. Diese Berechtigung ist in der Rolle „Artifact Registry-Administrator“ (roles/artifactregistry.admin
) enthalten.storage.buckets.update
– Berechtigungen zum Aktualisieren von Storage-Buckets im für das gesamte Projekt. Diese Berechtigung befindet sich in der Rolle „Storage-Administrator“ (roles/storage.admin
).
Wenn Sie diese Berechtigungen nicht haben, bitten Sie einen Administrator, Gewähren auf Projektebene zuweisen können.
Mit den folgenden Befehlen gewähren Sie dem Artifact Registry-Administrator und Storage-Administrator für ein Projekt.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member='user:PRINCIPAL' \
--role='roles/artifactregistry.admin'
gcloud projects add-iam-policy-binding PROJECT_ID \
--member='user:PRINCIPAL' \
--role='roles/storage.admin'
Ersetzen Sie die folgenden Werte:
- PROJECT_ID ist Google Cloud Projekt-ID.
- PRINCIPAL ist die E-Mail-Adresse des Kontos, das Sie aktualisieren.
Beispiel:
my-user@example.com
Projekteinrichtung validieren
Führen Sie den folgenden Befehl aus, um die Projekteinrichtung zu validieren:
gcloud artifacts settings enable-upgrade-redirection \
--project=PROJECT_ID --dry-run
Ersetzen Sie PROJECT_ID durch Ihre Google Cloud-Projekt-ID.
Artifact Registry prüft auf Repositories, die Container Registry zugeordnet sind Hostnamen.
Artifact Registry kann zwar die fehlenden gcr.io
-Repositories für
Wenn Sie die Weiterleitung aktivieren, sollten Sie diese zuerst erstellen,
kann vor dem Aktivieren der Weiterleitung folgende Aktionen ausführen:
- Berechtigungen auf Repositoryebene konfigurieren
- Kopieren Sie Images aus Container Registry, die Sie weiterhin verwenden möchten.
- Nehmen Sie bei Bedarf zusätzliche Konfigurationen vor.
Weiterleitung aktivieren
So aktivieren Sie die Weiterleitung für gcr.io
-Traffic:
Console
Öffnen Sie in der Google Cloud Console die Seite „Einstellungen“.
Klicken Sie auf Route to Artifact Registry.
gcloud
Führen Sie den folgenden Befehl aus, um die Weiterleitung zu aktivieren:
gcloud artifacts settings enable-upgrade-redirection \
--project=PROJECT_ID
Ersetzen Sie PROJECT_ID durch Ihre Google Cloud-Projekt-ID.
Artifact Registry aktiviert die Weiterleitung.
Führen Sie den folgenden Befehl aus, um den aktuellen Status der Weiterleitung zu prüfen:
gcloud artifacts settings describe
Wenn die Weiterleitung aktiviert ist, lautet das Ergebnis:
legacyRedirectionState: REDIRECTION_FROM_GCR_IO_ENABLED
Der gesamte Verkehr nach gcr.io
, asia.gcr.io
, eu.gcr.io
und us.gcr.io
ist
weitergeleitet, auch wenn Sie nicht gcr.io
Repositories für alle
Container Registry-Hostnamen. Wenn Sie ein Image an einen Hostnamen senden,
ein entsprechendes Artifact Registry-Repository haben, erstellt Artifact Registry das Repository
wenn Sie eine Rolle mit dem artifactregistry.repositories.createOnPush
haben
Berechtigung. Die vordefinierten Rollen „Create-on-Push-Autor“
(artifactregistry.createOnPushWriter
) und Create-on-Push-Repository
Der Administrator (artifactregistry.createOnPushRepoAdmin
) hat diese Berechtigung.
Wenn die Weiterleitung aktiviert ist, können Sie Ihre Automatisierung testen und prüfen, ob Sie
Images mit Ihren neuen gcr.io
-Repositories per Push oder Pull übertragen.
Weiterleitung überprüfen
Prüfen Sie, ob Pull- und Push-Anfragen an gcr.io
-Hostnamen funktionieren.
Übertragen Sie ein Testbild mithilfe der
gcr.io
an eines Ihrergcr.io
-Repositories Pfad.Taggen Sie das Image mit dem Pfad
gcr.io
. Mit diesem Befehl wird beispielsweise das Bildlocal-image
mitus.gcr.io/my-project/test-image
getaggt:docker tag local-image us.gcr.io/my-project/test-image
Übertragen Sie das getaggte Image per Push. Mit diesem Befehl wird beispielsweise das Bild
us.gcr.io/my-project/test-image
gepusht:docker push us.gcr.io/my-project/test-image
Images im Repository auflisten, um zu prüfen, ob das Image hochgeladen wurde erfolgreich war. Führen Sie beispielsweise den folgenden Befehl aus, um Images in
us.gcr.io/my-project
aufzulisten:gcloud container images list --repository=us.gcr.io/my-project
Rufen Sie das Image aus seinem Repository-Pfad aus dem Repository ab. Mit diesem Befehl wird beispielsweise das Image
us.gcr.io/my-project/test-image
abgerufen.docker pull us.gcr.io/my-project/test-image
Überprüfen Sie nach diesem ersten Test, ob Ihre vorhandene Automatisierung zum Erstellen und Die Bereitstellung von Images funktioniert wie erwartet, einschließlich:
- Nutzer und Dienstkonten, die Container Registry verwenden, können und stellen Images bereit, wenn die Weiterleitung aktiviert ist.
- Ihre Automatisierung überträgt nur Images in vorhandene Repositories.
- Wenn das Artefaktanalyse-Scan auf Sicherheitslücken aktiviert ist,
identifiziert Images mit Sicherheitslücken in
gcr.io
Repositories. - Wenn Sie die Binärautorisierung verwenden, funktionieren Ihre vorhandenen Richtlinien für Images ordnungsgemäß
aus
gcr.io
Repositories bereitgestellt. - Konfigurierte Pub/Sub-Abos enthalten Benachrichtigungen für
Änderungen in Ihren
gcr.io
-Repositories.
Container Registry-Images bereinigen
Wenn die Weiterleitung aktiviert ist, Befehle zum Löschen von Images in gcr.io
-Pfaden
Images im entsprechenden gcr.io
-Repository von Artifact Registry löschen.
Löschbefehle zum Löschen von Images in gcr.io
-Pfaden löschen keine Images, die auf
Container Registry-Hosts.
Löschen Sie das Cloud Storage-Objekt, um alle Container Registry-Images sicher zu entfernen. Buckets für jeden Container Registry-Hostnamen.
So löschen Sie die einzelnen Container Registry-Storage-Buckets:
Console
- Rufen Sie in der Google Cloud Console die Cloud Storage-Seite auf.
Wählen Sie den zu löschenden Storage-Bucket aus. In den Bucket-Namen
PROJECT-ID
ist Ihr Google Cloud-Team Projekt-ID.- gcr.io:
artifacts.PROJECT-ID.appspot.com
- asia.gcr.io:
asia.artifacts.PROJECT-ID.appspot.com
- eu.gcr.io:
eu.artifacts.PROJECT-ID.appspot.com
- us.gcr.io:
us.artifacts.PROJECT-ID.appspot.com
- gcr.io:
Klicken Sie auf Löschen. Ein Bestätigungsdialogfeld wird angezeigt.
Geben Sie den Bucketnamen ein und klicken Sie auf Löschen, um den Löschvorgang zu bestätigen.
gcloud
Wenn Sie 100.000 oder mehr Bilder in einem Bucket im Bulk löschen möchten, Vermeiden Sie die Verwendung der gcloud CLI, da der Löschvorgang lange dauert. abgeschlossen werden muss. Verwenden Sie die Google Cloud Console, um den Vorgang auszuführen. . Weitere Informationen finden Sie unter Bulk-Löschen von Cloud Storage-Objekten
Verwenden Sie zum Löschen eines Buckets den gcloud storage rm
mit dem Flag --recursive
.
gcloud storage rm gs://BUCKET-NAME --recursive
BUCKET-NAME
durch den Container Registry-Speicher ersetzen
Bucket-Name. In den Bucket-Namen ist PROJECT-ID
Ihr
Google Cloud
Projekt-ID.
- gcr.io:
artifacts.PROJECT-ID.appspot.com
- asia.gcr.io:
asia.artifacts.PROJECT-ID.appspot.com
- eu.gcr.io:
eu.artifacts.PROJECT-ID.appspot.com
- us.gcr.io:
us.artifacts.PROJECT-ID.appspot.com
Die Antwort sieht in etwa so aus:
Removing gs://artifacts.my-project.appspot.com/...
Wenn andere Google Cloud-Dienste in derselben Google Cloud ausgeführt werden Projekt erstellen, lassen Sie die Container Registry API aktiviert. Wenn Sie versuchen, Deaktivieren Sie die Container Registry API. Container Registry zeigt eine Warnung an, wenn andere Dienste mit einer konfigurierten Abhängigkeit im Projekt aktiviert sind. Container Registry API deaktivieren deaktiviert automatisch alle Dienste im selben Projekt mit einem konfigurierten auch wenn Sie Container Registry derzeit nicht mit diesen Dienstleistungen.