Repositories mit Unterstützung für gcr.io-Domains einrichten

In diesem Dokument wird die manuelle Einrichtung von gcr.io-Repositories in Artifact Registry.

Wir empfehlen die Verwendung unseres automatischen Migrationstools, um Umstellung auf gcr.io-Repositories in Artifact Registry.

Wenn Sie gcr.io-Repositories in Artifact Registry mit folgendem Befehl erstellen möchten: vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs), dann führen Sie die Schritte unter Vorbereitung aus und folgen Sie dann die Anleitung unter Manuelle Repository-Erstellung.

Hinweise

  1. Installieren Sie die Google Cloud CLI, falls sie noch nicht installiert ist. installiert haben. Führen Sie bei einer vorhandenen Installation den folgenden Befehl aus, um Komponenten auf die neuesten Versionen zu aktualisieren:

    gcloud components update

  2. Aktivieren Sie die Artifact Registry API und die Resource Manager API. Die gcloud CLI verwendet die Resource Manager API, um nach einem der die erforderlichen Berechtigungen haben.

    Führen Sie dazu diesen Befehl aus:

    gcloud services enable \
    cloudresourcemanager.googleapis.com \
    artifactregistry.googleapis.com

  3. Informieren Sie sich vorab über die Preise für Artifact Registry beginnen Sie mit dem Übergang.

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die Sie zum Einrichten von `gcr.io`-Repositories benötigen, bitten Sie Ihren Administrator, Ihnen folgende IAM-Rollen für das Google Cloud-Projekt:

  • So erstellen Sie Artifact Registry-Repositories und gewähren Zugriff auf einzelne Repositories: Artifact Registry-Administrator (roles/artifactregistry.admin)
  • So rufen Sie die vorhandene Container Registry-Konfiguration auf, die auf Cloud Storage-Storage-Buckets angewendet wurde: Storage-Administrator (roles/storage.admin)
  • So erstellen Sie ein gcr.io-Repository, wenn Sie ein Image zum ersten Mal per Push an einen gcr.io-Hostnamen übertragen: Artifact Registry – Create-on-Push-Autor (roles/artifactregistry.createOnPushWriter)
  • So gewähren Sie Repository-Zugriff auf Projektebene: Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) oder eine Rolle mit gleichwertigen Berechtigungen wie Ordneradministrator (roles/resourcemanager.folderAdmin) oder Organisationsadministrator (roles/resourcemanager.organizationAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Beschränkungen

Die folgenden Einschränkungen gelten für Repositories mit gcr.io-Domainunterstützung:

  • Sie können einen Container Registry-Host keinem Artifact Registry-Repository in einem anderen Projekt.
  • Jeder Container Registry-Hostname wird nur einem zugehörigen Artifact Registry-gcr.io-Repository in derselben Multiregion.
  • Die Namen für gcr.io-Repositories sind vordefiniert und können nicht geändert werden.

Wenn Sie mehr Kontrolle über den Standort Ihrer Repositories benötigen, können Sie Umstellung auf Standard-Repositories in Artifact Registry pkg.dev-Domain. Da Standard-Repositories den Parameter gcr.io-Domain, für diesen Umstellungsansatz sind weitere Änderungen an Ihren bestehenden Automatisierung und Workflows. Weitere Informationen finden Sie unter Umstellungsoption auswählen. Funktionsunterschiede.

Repositories erstellen

Erstellen Sie gcr.io-Repositories, damit Sie den Zugriff für Ihre Nutzer und Vorhandene Container Registry-Images vor der Aktivierung in Artifact Registry kopieren Weiterleitung.

Schnelle Repository-Erstellung

Mit diesen Schritten werden gcr.io-Repositories erstellt, die mit Schlüssel, die Google gehören und von Google verwaltet werden. Wenn Sie die vom Kunden verwaltete Verschlüsselung verwenden möchten Schlüssel (CMEK) haben, müssen Sie Repositories erstellen manuell.

So erstellen Sie gcr.io-Repositories:

  1. Öffnen Sie in der Cloud Console die Seite Repositories.

    Zur Seite „Repositories“

    Auf der Seite wird die Nachricht in einem Banner You have gcr.io repositories in Container Registry

    Zur Seite "Einstellungen"

  2. Klicken Sie im Banner auf gcr.io Repositories erstellen.

    Der Bereich gcr.io-Repositories erstellen wird geöffnet. Die Seite Bilder kopieren die voll qualifizierten Namen jedes Repositorys aufgeführt, erstellt. Sie benötigen diese Repository-Namen, wenn Sie sie kopieren möchten Images aus Container Registry erstellt, bevor Sie die Weiterleitung aktivieren.

  3. Klicken Sie auf Erstellen.

Artifact Registry erstellt gcr.io-Repositories für alle Container Registry Hostnamen:

Container Registry-Hostname Artifact Registry-Repository-Name
gcr.io gcr.io
asia.gcr.io asia.gcr.io
eu.gcr.io eu.gcr.io
us.gcr.io us.gcr.io

Wenn Sie die Artifact Registry-URL für das Repository sehen möchten, halten Sie den Mauszeiger über dem Warnsymbol ( ) neben dem Repository-Namen.

Bevor Sie Traffic zu Ihren neuen Repositories weiterleiten, müssen Sie prüfen, ob die vorhandene Automatisierung auf das Repository zugreifen kann. Im nächsten Schritt konfigurieren Berechtigungen, um Zugriff auf Repositories zu gewähren.

Manuelle Repository-Erstellung

Erstellen Sie gcr.io-Repositories manuell, wenn Sie sie verwenden möchten Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) zum Verschlüsseln oder wenn eine Standortbeschränkung in Ihrem Google Cloud-Organisation, die das Erstellen neuer Ressourcen in an bestimmten Standorten suchen.

So erstellen Sie manuell ein gcr.io-Repository:

  1. Wenn Sie CMEK verwenden, erstellen Sie den Schlüssel, den Sie mit diesem Repository verwenden werden und erteilen Sie Berechtigungen zur Verwendung des Schlüssels. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel aktivieren

  2. Fügen Sie das Repository hinzu:

    Console

    1. Öffnen Sie in der Cloud Console die Seite Repositories.

      Zur Seite „Repositories“

    2. Klicken Sie auf Repository erstellen.

    3. Geben Sie den Repository-Namen an.

      Container Registry-Hostname Artifact Registry-Repository-Name
      gcr.io gcr.io
      asia.gcr.io asia.gcr.io
      eu.gcr.io eu.gcr.io
      us.gcr.io us.gcr.io

    4. Geben Sie Docker als Repository-Format an.

    5. Geben Sie unter Standorttyp den multiregionalen Standort für das Repository an:

      Container Registry-Hostname Speicherort des Artifact Registry-Repositorys
      gcr.io us
      asia.gcr.io Asien
      eu.gcr.io Europa
      us.gcr.io us

    6. Fügen Sie eine Beschreibung für das Repository hinzu. Geben Sie keine sensiblen Daten, da Repository-Beschreibungen nicht verschlüsselt sind.

    7. Wählen Sie im Abschnitt Verschlüsselung den Verschlüsselungsmechanismus für das Repository aus.

      • Von Google verwalteter Schlüssel: Repository-Inhalte verschlüsseln mit einer Google-eigener und von Google verwalteter Schlüssel.
      • Vom Kunden verwalteter Schlüssel: Verschlüsselung des Repository-Inhalts mit einem Schlüssel, den Sie über Cloud Key Management Service steuern. Eine grundlegende Einrichtungsanleitung finden Sie unter Vom Kunden verwalteten Schlüssel für Repositories einrichten.

    8. Klicken Sie auf Erstellen.

    gcloud

    Führen Sie den folgenden Befehl aus, um ein neues Repository zu erstellen:

    gcloud artifacts repositories create REPOSITORY \
    --repository-format=docker \
    --location=LOCATION \
    --description=DESCRIPTION \
    --kms-key=KMS-KEY

    Ersetzen Sie die folgenden Werte:

    • REPOSITORY ist der Name des Repositorys.

      Container Registry-Hostname Artifact Registry-Repository-Name
      gcr.io gcr.io
      asia.gcr.io asia.gcr.io
      eu.gcr.io eu.gcr.io
      us.gcr.io us.gcr.io

    • LOCATION ist der multiregionale Speicherort für das Repository:

      Container Registry-Hostname Speicherort des Artifact Registry-Repositorys
      gcr.io us
      asia.gcr.io Asien
      eu.gcr.io Europa
      us.gcr.io us

    • DESCRIPTION ist eine Beschreibung des Repositorys. Das sollten Sie nicht tun: enthalten sensible Daten, da Repository-Beschreibungen nicht verschlüsselt sind.

    • KMS-KEY ist der vollständige Pfad zur Cloud KMS-Verschlüsselung. Schlüssel, wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden um Repository-Inhalte zu verschlüsseln. Der Pfad hat folgendes Format:

      projects/KMS-PROJECT/locations/KMS-LOCATION/keyRings/KEY-RING/cryptoKeys/KEY

      Ersetzen Sie die folgenden Werte:

      • KMS-PROJECT ist das Projekt, in dem Ihr Schlüssel gespeichert ist.
      • KMS-LOCATION ist der Speicherort des Schlüssels.
      • KEY-RING ist der Name des Schlüsselbunds.
      • KEY ist der Name des Schlüssels.

    Sie können prüfen, ob das Repository erstellt wurde, indem Sie Ihre Repositories auflisten mit dem folgenden Befehl:

    gcloud artifacts repositories list

Bevor Sie Traffic zu Ihren neuen Repositories weiterleiten, müssen Sie prüfen, ob die vorhandene Automatisierung auf das Repository zugreifen kann. Im nächsten Schritt konfigurieren Berechtigungen, um Zugriff auf Repositories zu gewähren.

Berechtigungen für Repositories erteilen

Container Registry verwendet Cloud Storage-Rollen, um den Zugriff zu steuern. Artifact Registry hat eine eigene IAM-Rolle Rollen und diese Rollen Lese-, Schreib- und Repository-Verwaltungsrollen deutlicher Container Registry.

Vorhandene Berechtigungen für Storage-Buckets schnell vorgeschlagenen Berechtigungen zuordnen Für Artifact Registry-Rollen verwenden Sie das Rollenzuordnungstool.

Alternativ können Sie eine Liste der Hauptkonten mit Zugriff auf den Speicher aufrufen Buckets mit der Google Cloud Console.

  1. Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.

    Buckets aufrufen

  2. Klicken Sie auf den Storage-Bucket für den Registry-Host, den Sie ansehen möchten. In den Bucket-Namen ist PROJECT-ID Ihr Google Cloud Projekt-ID.

    • gcr.io: artifacts.PROJECT-ID.appspot.com
    • asia.gcr.io: asia.artifacts.PROJECT-ID.appspot.com
    • eu.gcr.io: eu.artifacts.PROJECT-ID.appspot.com
    • us.gcr.io: us.artifacts.PROJECT-ID.appspot.com

  3. Klicken Sie auf den Tab Berechtigungen.

  4. Klicken Sie auf dem Tab "Berechtigungen" auf den Unter-Tab Nach Rolle ansehen.

  5. Maximieren Sie eine Rolle, um die Hauptkonten anzusehen, denen diese Rolle zugewiesen ist.

Die Liste enthält IAM-Rollen, die direkt für den Bucket gewährt wurden und Rollen, die vom übergeordneten Projekt übernommen wurden. Je nach Rolle können Sie die am besten zu gewährende Artifact Registry-Rolle.

Cloud Storage und einfache Rollen

Nutzern und Dienstkonten gewähren, die derzeit auf Container Registry zugreifen mit Zugriff auf Artifact Registry-Repositories. Für Cloud Storage vom übergeordneten Projekt übernommen haben, sollten Sie überprüfen, verwendet derzeit Container Registry. Einige Hauptkonten greifen möglicherweise nur auf andere Cloud Storage-Buckets zu, die nichts mit Container Registry zu tun haben.

Die einfachen Rollen "Inhaber", "Bearbeiter" und "Betrachter", die vor IAM haben eingeschränkten Zugriff auf Storage-Buckets. Sie gewähren nicht grundsätzlich den gesamten Zugriff auf Cloud Storage Ressourcen, die ihr Name andeuten, und bieten zusätzliche Berechtigungen für andere Google Cloud-Dienste. Prüfen, für welche Nutzer und Dienstkonten Folgendes erforderlich ist: Zugriff auf Artifact Registry und die Tabelle Rollenzuordnung zur Unterstützung Sie gewähren die richtigen Rollen, wenn der Zugriff auf Artifact Registry angemessen ist.

In der folgenden Tabelle werden Artifact Registry-Rollen anhand der Berechtigungen zugeordnet, die von vordefinierte Cloud Storage-Rollen für den Zugriff auf Container Registry.

Erforderlicher Zugriff Aktuelle Rolle Artifact Registry-Rolle Wo wird die Rolle gewährt?
Nur Bilder abrufen (schreibgeschützt) Storage-Objekt-Betrachter
(roles/storage.objectViewer)		 Artifact Registry-Leser
(roles/artifactregistry.reader) 		Artifact Registry-Repository oder Google Cloud-Projekt
  • Images hoch- und herunterladen (Lese- und Schreibzugriff)
  • Bilder löschen
 Autor alter Storage-Buckets
(roles/storage.legacyBucketWriter)		 Artifact Registry-Repository-Administrator
(roles/artifactregistry.repoAdmin)		 Artifact Registry-Repository oder Google Cloud-Projekt
gcr.io-Repository in Artifact Registry erstellen, wenn ein Image zum ersten Mal wird an einen gcr.io-Hostnamen in einem Projekt gesendet. Storage-Administrator
(roles/storage.admin)		 Artifact Registry-Repository-Administrator für Erstellung und Push-Funktion
(roles/artifactregistry.createOnPushRepoAdmin)		 Google Cloud-Projekt
Repositories erstellen, verwalten und löschen Storage-Administrator
(roles/storage.admin)		 Artifact Registry-Administrator
(roles/artifactregistry.Admin)		 Google Cloud-Projekt
Vom Projekt übernommene Dienst-Agent-Rollen

Standarddienstkonten für Google Cloud-Dienste haben eigene die auf Projektebene erteilt wurden. Zum Beispiel der Dienst-Agent für Cloud Run hat die Rolle „Cloud Run-Dienst-Agent“.

In den meisten Fällen enthalten diese Dienst-Agent-Rollen gleichwertige Standardeinstellungen Berechtigungen für Container Registry und Artifact Registry erhalten. keine weiteren Änderungen vornehmen müssen, wenn Sie Artifact Registry befindet sich im selben Projekt wie Ihr vorhandenes Container Registry .

Weitere Informationen finden Sie im Rollenreferenz für Dienst-Agent für Details zu den Berechtigungen in Dienst-Agent-Rollen.

Benutzerdefinierte Rollen

Anhand der Tabelle Rollenzuordnung können Sie sich für die Rolle, die Nutzern oder Dienstkonten je nach Zugriffsebene zugewiesen werden soll die sie benötigen.

Eine Anleitung zum Gewähren von Artifact Registry-Rollen finden Sie unter Konfigurieren Sie Rollen und Berechtigungen.

Container aus Container Registry kopieren

Wir empfehlen die Verwendung unseres automatischen Migrationstools, um von Container Registry zu Artifact Registry übertragen.

Wenn Sie andere Tools zum Kopieren Ihrer Bilder verwenden möchten, lesen Sie den Abschnitt Images aus Container Registry kopieren

Weitere Funktionen einrichten

In diesem Abschnitt wird die Konfiguration weiterer Funktionen beschrieben, die Sie möglicherweise festgelegt haben. in Container Registry hochladen.

Artefaktanalyse

Die Artefaktanalyse unterstützt beides Container Registry und Artifact Registry. Beide Produkte nutzen die gleichen Artefaktanalyse-APIs für Image-Metadaten und Sicherheitslücken Scans sowie dieselben Pub/Sub-Themen für Artefaktanalysebenachrichtigungen.

Die folgenden Aktionen werden jedoch nur ausgeführt, wenn die Weiterleitung aktiviert ist:

  • Automatisches Scannen von gcr.io Repositories in Artifact Registry.
  • gcr.io-Repository-Aktivität in Pub/Sub-Benachrichtigungen eingeschlossen.

Sie können weiterhin gcloud container images Befehle zum Auflisten von Hinweisen und Vorkommen, die mit gcr.io-Image-Pfaden verknüpft sind.

Container Registry Artifact Registry
Scannt nach Sicherheitslücken in Betriebssystem- und Sprachpaketen mit On-Demand-Scans in Images mit einem unterstützten Betriebssystem. Beim automatischen Scannen wird nur das Betriebssystem zurückgegeben Informationen zu Sicherheitslücken. Weitere Informationen zu den verschiedenen Arten von Scannen.
On-Demand-Scans
Automatisches Scannen
  • Mit dem Google Cloud CLI-Befehl <ph type="x-smartling-placeholder"></ph> gcloud container images enthält Flags zum Anzeigen von Scanergebnissen. einschließlich Sicherheitslücken und anderer Metadaten.
  • Beim Scan werden nur Informationen zu Sicherheitslücken des Betriebssystems für Images zurückgegeben, Container Registry mit <ph type="x-smartling-placeholder"></ph> unterstützten Betriebssystemen.
Scannt nach Sicherheitslücken in Betriebssystem- und Sprachpaketen mit On-Demand- und automatisches Scannen. Weitere Informationen zu den verschiedenen Arten von Scannen.
On-Demand-Scans
Automatisches Scannen
  • Mit dem Google Cloud CLI-Befehl gcloud Artefakte Docker-Images enthalten Flags zum Anzeigen von Scanergebnissen, einschließlich Sicherheitslücken und anderer Metadaten.
  • Scans geben Informationen zu Sicherheitslücken des Betriebssystems für Images in Artifact Registry mit <ph type="x-smartling-placeholder"></ph> unterstützte Betriebssysteme und Sprachpakete Informationen zu Sicherheitslücken für unterstützte und nicht unterstützte Betriebsarten Systeme.

Pub/Sub-Benachrichtigungen

Artifact Registry veröffentlicht Änderungen an demselben gcr-Thema wie Container Registry. Wenn Sie Pub/Sub bereits mit Container Registry im selben Projekt wie Artifact Registry verwenden, ist keine zusätzliche Konfiguration erforderlich. Artifact Registry veröffentlicht jedoch nicht Nachrichten für gcr.io Repositories senden, bis Sie die Weiterleitung aktivieren.

Wenn Sie Artifact Registry in einem separaten Projekt einrichten, ist das Thema gcr möglicherweise nicht vorhanden. Anleitungen zur Einrichtung finden Sie unter Pub/Sub-Benachrichtigungen konfigurieren.

Weiterleitung von gcr.io-Zugriffen aktivieren

Nachdem Sie Ihre gcr.io-Repositories erstellt haben und konfigurierte Berechtigungen und die Authentifizierung für Ihr Drittanbieter-Clients verwenden, können Sie die Weiterleitung von gcr.io-Traffic aktivieren.

Wenn nach dem Aktivieren der Weiterleitung ein Problem auftritt, können Sie den Traffic zurückleiten zu Container Registry und aktivieren Sie die Weiterleitung wieder, wenn Sie das Problem zu lösen.

Berechtigungen zum Aktivieren der Weiterleitung überprüfen

Zum Aktivieren der Weiterleitung benötigen Sie die folgenden Berechtigungen auf Projektebene:

  • artifactregistry.projectsettings.update: Berechtigungen zum Aktualisieren Artifact Registry-Projekteinstellungen. Diese Berechtigung befindet sich in der Rolle „Artifact Registry-Administrator“ (roles/artifactregistry.admin).
  • storage.buckets.update – Berechtigungen zum Aktualisieren von Storage-Buckets im für das gesamte Projekt. Diese Berechtigung befindet sich in der Rolle „Storage-Administrator“ (roles/storage.admin).

Wenn Sie diese Berechtigungen nicht haben, bitten Sie einen Administrator, Gewähren auf Projektebene zuweisen können.

Mit den folgenden Befehlen gewähren Sie dem Artifact Registry-Administrator und Storage-Administrator für ein Projekt.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='user:PRINCIPAL' \
    --role='roles/artifactregistry.admin'

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='user:PRINCIPAL' \
    --role='roles/storage.admin'

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID ist Google Cloud Projekt-ID.
  • PRINCIPAL ist die E-Mail-Adresse für das Konto, das Sie aktualisieren. Beispiel: user:my-user@example.com

Projekteinrichtung validieren

Führen Sie den folgenden Befehl aus, um die Projekteinrichtung zu validieren:

gcloud artifacts settings enable-upgrade-redirection \
    --project=PROJECT_ID --dry-run

Ersetzen Sie PROJECT_ID durch Ihre Google Cloud-Projekt-ID.

Artifact Registry prüft auf Repositories, die Container Registry zugeordnet sind Hostnamen.

Artifact Registry kann die fehlenden gcr.io-Repositories für Wenn Sie die Weiterleitung aktivieren, sollten Sie diese zuerst erstellen, kann vor dem Aktivieren der Weiterleitung folgende Aktionen ausführen:

Weiterleitung aktivieren

So aktivieren Sie die Weiterleitung für gcr.io-Traffic:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „Einstellungen“.

    Zur Seite "Einstellungen"

  2. Klicken Sie auf Route to Artifact Registry.

gcloud

Führen Sie den folgenden Befehl aus, um die Weiterleitung zu aktivieren:

gcloud artifacts settings enable-upgrade-redirection \
    --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch Ihre Google Cloud-Projekt-ID.

Artifact Registry aktiviert die Weiterleitung.

Führen Sie den folgenden Befehl aus, um den aktuellen Status der Weiterleitung zu prüfen:

gcloud artifacts settings describe

Wenn die Weiterleitung aktiviert ist, lautet das Ergebnis:

legacyRedirectionState: REDIRECTION_FROM_GCR_IO_ENABLED

Der gesamte Verkehr nach gcr.io, asia.gcr.io, eu.gcr.io und us.gcr.io ist auch wenn Sie keine gcr.io-Repositories für alle Container Registry-Hostnamen. Wenn Sie ein Image an einen Hostnamen senden, ein entsprechendes Artifact Registry-Repository haben, erstellt Artifact Registry das Repository wenn Sie eine Rolle mit dem artifactregistry.repositories.createOnPush haben Berechtigung. Die vordefinierten Rollen „Create-on-Push-Autor“ (artifactregistry.createOnPushWriter) und Create-on-Push-Repository Der Administrator (artifactregistry.createOnPushRepoAdmin) hat diese Berechtigung.

Wenn die Weiterleitung aktiviert ist, können Sie Ihre Automatisierung testen und prüfen, ob Sie Images mit Ihren neuen gcr.io-Repositories übertragen und abrufen.

Weiterleitung überprüfen

Prüfen Sie, ob Pull- und Push-Anfragen an gcr.io-Hostnamen funktionieren.

  1. Übertragen Sie ein Test-Image mithilfe der gcr.io an eines Ihrer gcr.io-Repositories Pfad.

    1. Taggen Sie das Image mit dem Pfad gcr.io. Dieser Befehl taggt das Image local-image als us.gcr.io/my-project/test-image:

      docker tag local-image us.gcr.io/my-project/test-image

    2. Übertragen Sie das getaggte Image per Push. Mit diesem Befehl wird z. B. die Methode Bild us.gcr.io/my-project/test-image:

      docker push us.gcr.io/my-project/test-image

  2. Images im Repository auflisten, um zu prüfen, ob das Image hochgeladen wurde erfolgreich war. Um beispielsweise Images in us.gcr.io/my-project aufzulisten, führen Sie den folgenden Befehl aus: den Befehl:

    gcloud container images list --repository=us.gcr.io/my-project

  3. Rufen Sie das Image aus seinem Repository-Pfad aus dem Repository ab. Mit diesem Befehl wird beispielsweise das Image us.gcr.io/my-project/test-image abgerufen.

    docker pull us.gcr.io/my-project/test-image

Überprüfen Sie nach diesem ersten Test, ob Ihre vorhandene Automatisierung zum Erstellen und Die Bereitstellung von Images funktioniert wie erwartet, einschließlich:

  • Nutzer und Dienstkonten, die Container Registry verwenden, können und stellen Images bereit, wenn die Weiterleitung aktiviert ist.
  • Ihre Automatisierung überträgt nur Images in vorhandene Repositories.
  • Wenn das Artefaktanalyse-Scan auf Sicherheitslücken aktiviert ist, Images mit Sicherheitslücken in gcr.io-Repositories identifiziert.
  • Wenn Sie die Binärautorisierung verwenden, funktionieren Ihre vorhandenen Richtlinien für Images ordnungsgemäß aus gcr.io-Repositories bereitgestellt werden.
  • Konfigurierte Pub/Sub-Abos enthalten Benachrichtigungen für Änderungen in Ihren gcr.io-Repositories.

Container Registry-Images bereinigen

Wenn die Weiterleitung aktiviert ist, Befehle zum Löschen von Images in gcr.io-Pfaden Images im entsprechenden gcr.io-Repository von Artifact Registry löschen. Löschbefehle zum Löschen von Images in gcr.io-Pfaden löschen keine Images, die auf Container Registry-Hosts.

Löschen Sie das Cloud Storage-Objekt, um alle Container Registry-Images sicher zu entfernen. Buckets für jeden Container Registry-Hostnamen.

So löschen Sie die einzelnen Container Registry-Storage-Buckets:

Console

  1. Rufen Sie in der Google Cloud Console die Cloud Storage-Seite auf.

  2. Wählen Sie den zu löschenden Storage-Bucket aus. In den Bucket-Namen PROJECT-ID ist Ihr Google Cloud-Team Projekt-ID.

    • gcr.io: artifacts.PROJECT-ID.appspot.com
    • asia.gcr.io: asia.artifacts.PROJECT-ID.appspot.com
    • eu.gcr.io: eu.artifacts.PROJECT-ID.appspot.com
    • us.gcr.io: us.artifacts.PROJECT-ID.appspot.com

  3. Klicken Sie auf Löschen. Ein Bestätigungsdialogfeld wird angezeigt.

  4. Geben Sie den Bucket-Namen ein und klicken Sie auf Löschen, um das Löschen zu bestätigen.

gsutil

Wenn Sie 100.000 oder mehr Bilder in einem Bucket im Bulk löschen möchten, sollten Sie gsutil nicht verwenden, da der Löschvorgang sehr lange dauert. Verwenden Sie stattdessen die Google Cloud Console, um den Vorgang auszuführen.

Verwenden Sie zum Löschen eines Buckets den gsutil rm mit dem Flag -r.

gsutil rm -r gs://BUCKET-NAME

BUCKET-NAME durch den Container Registry-Speicher ersetzen Bucket-Name. In den Bucket-Namen ist PROJECT-ID Ihr Google Cloud Projekt-ID.

  • gcr.io: artifacts.PROJECT-ID.appspot.com
  • asia.gcr.io: asia.artifacts.PROJECT-ID.appspot.com
  • eu.gcr.io: eu.artifacts.PROJECT-ID.appspot.com
  • us.gcr.io: us.artifacts.PROJECT-ID.appspot.com

Die Antwort sieht in etwa so aus:

Removing gs://artifacts.my-project.appspot.com/...

Wenn andere Google Cloud-Dienste in derselben Google Cloud ausgeführt werden Projekt erstellen, lassen Sie die Container Registry API aktiviert. Wenn Sie versuchen, Deaktivieren Sie die Container Registry API. Container Registry zeigt eine Warnung an, wenn andere Dienste mit einem konfigurierten Abhängigkeiten im Projekt aktiviert sind. Container Registry API deaktivieren deaktiviert automatisch alle Dienste im selben Projekt mit einem konfigurierten auch wenn Sie Container Registry derzeit nicht mit diesen .

Nächste Schritte