Configura repositorios compatibles con el dominio gcr.io

En este documento, se explica cómo configurar de forma manual los repositorios de gcr.io en Artifact Registry.

Recomendamos usar nuestra herramienta de migración automática para hacer la transición a los repositorios gcr.io en Artifact Registry.

Si quieres crear repositorios de gcr.io en Artifact Registry con claves de encriptación administradas por el cliente (CMEK), completa los pasos que se indican en Antes de comenzar y sigue las instrucciones de Creación manual del repositorio.

Antes de comenzar

1. Instala Google Cloud CLI si aún no está instalado. En una instalación existente, ejecuta el siguiente comando para actualizar los componentes a las versiones más recientes:

   gcloud components update
   

2. Habilita las APIs de Artifact Registry y Resource Manager. gcloud CLI usa la API de Resource Manager para verificar uno de los permisos necesarios.

   Ejecuta el siguiente comando:

   gcloud services enable \
       cloudresourcemanager.googleapis.com \
       artifactregistry.googleapis.com
   

3. Obtén información sobre los pricing de Artifact Registry antes de comenzar la transición.

Funciones obligatorias

A fin de obtener los permisos que necesitas para configurar los repositorios “gcr.io”, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto de Google Cloud:

• Para crear repositorios de Artifact Registry y otorgar acceso a repositorios individuales, haz lo siguiente: Administrador de Artifact Registry (roles/artifactregistry.admin)
• Para ver y administrar la configuración existente de Container Registry aplicada a los buckets de almacenamiento de Cloud Storage, haz lo siguiente: Administrador de almacenamiento (roles/storage.admin)
• Para crear un repositorio gcr.io la primera vez que envías una imagen a un nombre de host gcr.io, haz lo siguiente: Escritor de creación en push de Artifact Registry (roles/artifactregistry.createOnPushWriter)
• Para otorgar acceso al repositorio a nivel de proyecto: Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) o un rol que incluya permisos equivalentes, como Administrador de carpetas (roles/resourcemanager.folderAdmin) o Administrador de la organización (roles/resourcemanager.organizationAdmin)

Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.

Limitaciones

Las siguientes limitaciones se aplican a los repositorios compatibles con el dominio gcr.io:

• No puedes asignar un host de Container Registry a un repositorio de Artifact Registry en un proyecto diferente.
• Cada nombre de host de Container Registry se asigna solo a un repositorio gcr.io de Artifact Registry correspondiente en la misma multirregión.
• Los nombres de los repositorios de gcr.io están predefinidos y no puedes modificarlos.

Si necesitas más control sobre la ubicación de tus repositorios, puedes hacer la transición a los repositorios estándar en el dominio pkg.dev de Artifact Registry. Debido a que los repositorios estándar no tienen compatibilidad con el dominio gcr.io, este enfoque de transición requiere más cambios en tu automatización y flujos de trabajo existentes. Consulta Elige una opción de transición para obtener información sobre las diferencias entre las funciones.

Crea repositorios

Crea repositorios de gcr.io para que puedas configurar el acceso de tus usuarios y copiar las imágenes existentes de Container Registry a Artifact Registry antes de habilitar la redirección.

Creación rápida de repositorios

Mediante estos pasos, se crean repositorios gcr.io que se encriptan con claves de encriptación administradas por Google. Si deseas usar claves de encriptación administradas por el cliente (CMEK), debes crear repositorios de forma manual.

Para crear repositorios gcr.io, haz lo siguiente:

1. Abre la página Repositorios en la consola de Google Cloud.

   Abrir la página Repositorios

   En la página, se muestra un banner con el mensaje You have gcr.io repositories in Container Registry.

   Abrir la página Configuración

2. En el banner, haz clic en Crear repositorios de gcr.io.

   Se abrirá el panel Crear repositorios gcr.io. En la sección Copia imágenes, se enumeran los nombres completos de cada repositorio que se creará. Necesitarás estos nombres de repositorio si deseas copiar imágenes de Container Registry antes de activar el redireccionamiento.

3. Haz clic en Crear.

Artifact Registry crea repositorios gcr.io para todos los nombres de host de Container Registry:

Para ver la URL de Artifact Registry para el repositorio, mantén el puntero sobre el ícono de advertencia () junto al nombre del repositorio.

Antes de redireccionar el tráfico a tus repositorios nuevos, debes asegurarte de que la automatización existente pueda acceder al repositorio. El siguiente paso es configurar los permisos para otorgar acceso a los repositorios.

Creación manual de repositorios

Crea repositorios gcr.io de forma manual si deseas usar claves de encriptación administradas por el cliente (CMEK) para encriptar el contenido de los repositorios o si hay una restricción de ubicación en tu organización de Google Cloud que bloquea la creación de recursos nuevos en ubicaciones específicas.

Sigue estos pasos para crear un repositorio gcr.io de forma manual:

1. Si usas CMEK, crea la clave que usarás con este repositorio y otorga permisos para usarla. Consulta Habilita claves de encriptación administradas por el cliente.

2. Agrega el repositorio.

   Console

   1. Abre la página Repositorios en la consola de Google Cloud.

      Abrir la página Repositorios

   2. Haz clic en Crear repositorio.

   3. Especifica el nombre del repositorio.

      Nombre de host de Container Registry	Nombre del repositorio de Artifact Registry
      gcr.io	gcr.io
      asia.gcr.io	asia.gcr.io
      eu.gcr.io	eu.gcr.io
      us.gcr.io	us.gcr.io

   4. Especifica Docker como el formato de repositorio.

   5. En Tipo de ubicación, especifica la multirregión para el repositorio:

      Nombre de host de Container Registry	Ubicación del repositorio de Artifact Registry
      gcr.io	us
      asia.gcr.io	asia
      eu.gcr.io	europe
      us.gcr.io	us

   6. Agrega una descripción para el repositorio. No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.

   7. En la sección Encriptación, elige el mecanismo de encriptación para el repositorio.

      • Clave administrada por Google: Encripta el contenido de un repositorio mediante una clave de encriptación administrada por Google.
      • Clave administrada por el cliente: Encripta el contenido de un repositorio mediante una clave que controlas a través de Cloud Key Management Service. Si deseas obtener instrucciones para la configuración de claves, consulta Configura CMEK para repositorios.

   8. Haz clic en Crear.

   gcloud

   Ejecuta el siguiente comando para crear un repositorio nuevo.

   gcloud artifacts repositories create REPOSITORY \
       --repository-format=docker \
       --location=LOCATION \
       --description=DESCRIPTION \
       --kms-key=KMS-KEY
   

   Reemplaza los siguientes valores:

   • REPOSITORY es el nombre del repositorio.

     Nombre de host de Container Registry	Nombre del repositorio de Artifact Registry
     gcr.io	gcr.io
     asia.gcr.io	asia.gcr.io
     eu.gcr.io	eu.gcr.io
     us.gcr.io	us.gcr.io

   • LOCATION es la multirregión para el repositorio:

     Nombre de host de Container Registry	Ubicación del repositorio de Artifact Registry
     gcr.io	us
     asia.gcr.io	asia
     eu.gcr.io	europe
     us.gcr.io	us

   • DESCRIPTION es una descripción del repositorio. No incluyas datos sensibles, ya que las descripciones del repositorio no están encriptadas.

   • KMS-KEY es la ruta completa a la clave de encriptación de Cloud KMS, si usas una clave de encriptación administrada por el cliente para encriptar el contenido del repositorio. La ruta tiene el siguiente formato:

     projects/KMS-PROJECT/locations/KMS-LOCATION/keyRings/KEY-RING/cryptoKeys/KEY
     

     Reemplaza los siguientes valores:

     • KMS-PROJECT es el proyecto en el que se almacena tu clave.
     • KMS-LOCATION es la ubicación de la clave.
     • KEY-RING es el nombre del llavero de claves.
     • KEY es el nombre de la clave.

   Para confirmar que el repositorio se creó, enumera tus repositorios con el siguiente comando:

   gcloud artifacts repositories list
   

Antes de redireccionar el tráfico a tus repositorios nuevos, debes asegurarte de que la automatización existente pueda acceder al repositorio. El siguiente paso es configurar los permisos para otorgar acceso a los repositorios.

Otorga permisos a los repositorios

Container Registry usa roles de Cloud Storage para controlar el acceso. Artifact Registry tiene sus propias funciones de IAM, y estas separan las funciones de lectura, escritura y administración de repositorios con mayor claridad que Container Registry.

Para asignar con rapidez los permisos existentes que se otorgaron en los buckets de almacenamiento a las funciones sugeridas de Artifact Registry, usa la herramienta de asignación de funciones.

Como alternativa, puedes ver una lista de principales con acceso a buckets de almacenamiento mediante la consola de Google Cloud.

1. En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.
   

   Ir a Buckets

2. Haz clic en el bucket de almacenamiento del host de registro que quieres ver. En los nombres de bucket, PROJECT-ID es el ID del proyecto de Google Cloud.

   • gcr.io: artifacts.PROJECT-ID.appspot.com
   • asia.gcr.io: asia.artifacts.PROJECT-ID.appspot.com
   • eu.gcr.io: eu.artifacts.PROJECT-ID.appspot.com
   • us.gcr.io: us.artifacts.PROJECT-ID.appspot.com

3. Haz clic en la pestaña Permisos.

4. En la pestaña Permisos, haz clic en la pestaña secundaria Ver por rol.

5. Expande un rol para ver las principales que tienen ese rol.

La lista incluye roles de IAM otorgados directamente en el bucket y roles heredados del proyecto superior. Según el rol, puedes elegir el rol de Artifact Registry más apropiado para otorgar.

Cloud Storage y roles básicos

Otorga acceso a los repositorios de Artifact Registry a los usuarios y las cuentas de servicio que actualmente acceden a Container Registry. Para las funciones de Cloud Storage heredadas del proyecto superior, debes verificar que la principal use actualmente Container Registry. Es posible que algunas principales solo accedan a otros buckets de Cloud Storage que no están relacionados con Container Registry.

Los roles básicos de propietario, editor y visualizador que existían antes de IAM tienen acceso limitado a los buckets de almacenamiento. No otorgan de forma intrínseca todo el acceso a los recursos de Cloud Storage que implican sus nombres y proporcionan permisos adicionales para otros servicios de Google Cloud. Verifica qué usuarios y cuentas de servicio requieren acceso a Artifact Registry y usa la tabla de asignación de funciones para ayudarte a otorgar los roles correctos si el acceso a Artifact Registry es adecuado.

En la siguiente tabla, se asignan los roles de Artifact Registry según los permisos que otorgan los roles predefinidos de Cloud Storage para el acceso a Container Registry.

Acceso obligatorio	Rol actual	Rol de Artifact Registry	Dónde otorgar el rol
Extraer imágenes únicamente (solo lectura)	Visualizador de objetos de Storage (roles/storage.objectViewer)	Lector de Artifact Registry (roles/artifactregistry.reader))	Repositorio de Artifact Registry o proyecto de Google Cloud
Envía y extrae imágenes (de lectura y escritura) Borrar imágenes	Escritor de buckets heredados de almacenamiento (roles/storage.legacyBucketWriter)	Administrador del repositorio de Artifact Registry (roles/artifactregistry.repoAdmin))	Repositorio de Artifact Registry o proyecto de Google Cloud
Crea un repositorio gcr.io en Artifact Registry la primera vez que se envía una imagen al nombre de host gcr.io en un proyecto.	Administrador de almacenamiento (roles/storage.admin)	Administrador de repositorio Create-on-push de Artifact Registry (roles/artifactregistry.createOnPushRepoAdmin)	Proyecto de Google Cloud
Crea, administra y borra repositorios	Administrador de almacenamiento (roles/storage.admin)	Administrador de Artifact Registry (roles/artifactregistry.Admin)	Proyecto de Google Cloud

Roles de agente de servicio heredados del proyecto

Las cuentas de servicio predeterminadas para los servicios de Google Cloud tienen sus propias funciones otorgadas a nivel de proyecto. Por ejemplo, el agente de servicio para Cloud Run tiene el rol Agente de servicio de Cloud Run.

En la mayoría de los casos, estos roles de agente de servicio contienen permisos predeterminados equivalentes para Container Registry y Artifact Registry, y no es necesario que realices ningún cambio adicional si ejecutas Artifact Registry en el mismo proyecto que tu servicio de Container Registry existente.

Consulta la referencia de la función de agente de servicio para obtener detalles sobre los permisos en las funciones de agente de servicio.

Roles personalizados

Usa la tabla de asignación de funciones para decidir qué función otorgar a los usuarios o cuentas de servicio según el nivel de acceso que requieren.

Si necesitas instrucciones para otorgar roles de Artifact Registry, consulta Configura roles y permisos.

Copia contenedores desde Container Registry

Te recomendamos usar nuestra herramienta de migración automática para copiar tus imágenes de Container Registry a Artifact Registry.

Si deseas usar otras herramientas para copiar tus imágenes, consulta Copia imágenes desde Container Registry.

Configura otras funciones

En esta sección, se describe la configuración de otras funciones que podrías haber establecido en Container Registry.

Artifact Analysis

Artifact Analysis es compatible con Container Registry y Artifact Registry. Ambos productos usan las mismas APIs de Artifact Analysis para los metadatos de imágenes y el análisis de vulnerabilidades, y los mismos temas de Pub/Sub para las notificaciones de Artifact Analysis.

Sin embargo, las siguientes acciones solo ocurren cuando está habilitado el redireccionamiento:

• Análisis automático de gcr.io repositorios en Artifact Registry.
• Se incluyó la actividad del repositorio gcr.io en las notificaciones de Pub/Sub.

Puedes seguir usando los comandos de gcloud container images para enumerar las notas y los casos asociados con las rutas de acceso de imagen gcr.io.

Notificaciones de Pub/Sub

Artifact Registry publica cambios en el mismo tema gcr que Container Registry. No se requiere ninguna configuración adicional si ya usas Pub/Sub con Container Registry en el mismo proyecto que Artifact Registry. Sin embargo, Artifact Registry no publica mensajes para los repositorios de gcr.io hasta que habilites el redireccionamiento.

Si configuras Artifact Registry en un proyecto diferente, es posible que el tema gcr no exista. Para obtener instrucciones de configuración, consulta Configura notificaciones de Pub/Sub.

Habilitar el redireccionamiento del tráfico gcr.io

Después de crear los repositorios de gcr.io y configurar los permisos y la autenticación para tus clientes de terceros, puedes habilitar el redireccionamiento del tráfico gcr.io.

Si encuentras un problema después de habilitar el redireccionamiento, puedes enrutar el tráfico de vuelta a Container Registry y, luego, volver a activar el redireccionamiento cuando hayas solucionado el problema.

Verifica los permisos para habilitar el redireccionamiento

Para habilitar el redireccionamiento, debes tener los siguientes permisos en el nivel del proyecto:

• artifactregistry.projectsettings.update: Permisos para actualizar la configuración del proyecto de Artifact Registry Este permiso se encuentra en la función de administrador de Artifact Registry (roles/artifactregistry.admin).
• storage.buckets.update: permisos para actualizar buckets de almacenamiento en todo el proyecto Este permiso se encuentra en la función de administrador de almacenamiento (roles/storage.admin).

Si no los cuentas con estos permisos, solicita a un administrador que los otorgue a nivel de proyecto.

Los siguientes comandos otorgan los roles de administrador de Artifact Registry y administrador de almacenamiento en un proyecto.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='user:PRINCIPAL' \
    --role='roles/artifactregistry.admin'

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='user:PRINCIPAL' \
    --role='roles/storage.admin'

Reemplaza los siguientes valores:

• PROJECT_ID es el ID del proyecto de Google Cloud.
• PRINCIPAL es la dirección de correo electrónico de la cuenta que estás actualizando. Por ejemplo, user:my-user@example.com.

Valida la configuración del proyecto.

Para validar la configuración de tu proyecto, ejecuta el siguiente comando:

gcloud artifacts settings enable-upgrade-redirection \
    --project=PROJECT_ID --dry-run

Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud.

Artifact Registry verifica los repositorios que se asignan a los nombres de host de Container Registry.

Aunque Artifact Registry puede crear los repositorios de gcr.io faltantes cuando habilitas el redireccionamiento, te recomendamos que los crees primero para que puedas realizar estas acciones antes de activar el redireccionamiento:

• Configura permisos a nivel del repositorio
• Copia las imágenes de Container Registry que aún deseas usar.
• Realiza cualquier configuración adicional.

Cómo activar el redireccionamiento

Si quieres activar el redireccionamiento para el tráfico gcr.io, haz lo siguiente:

gcloud artifacts settings enable-upgrade-redirection \
    --project=PROJECT_ID

gcloud artifacts settings describe

legacyRedirectionState: REDIRECTION_FROM_GCR_IO_ENABLED

Todo el tráfico a gcr.io, asia.gcr.io, eu.gcr.io y us.gcr.io se redirecciona, incluso si no creaste repositorios gcr.io para todos los nombres de host de Container Registry. Si envías una imagen a un nombre de host que no tiene un repositorio de Artifact Registry correspondiente, Artifact Registry crea el repositorio si tienes un rol con el permiso artifactregistry.repositories.createOnPush. Las funciones predefinidas de escritor Create-on-push (artifactregistry.createOnPushWriter) y administrador de repositorio de Create-on-push (artifactregistry.createOnPushRepoAdmin) tienen este permiso.

Con el redireccionamiento habilitado, puedes probar la automatización y verificar que puedas enviar y extraer imágenes con los repositorios gcr.io nuevos.

Verifica el redireccionamiento

Verifica que las solicitudes de extracción y envío a los nombres de host de gcr.io funcionen correctamente.

1. Envía una imagen de prueba a uno de tus repositorios de gcr.io con la ruta gcr.io.

   1. Etiqueta la imagen con la ruta de acceso gcr.io. Por ejemplo, este comando etiqueta la imagen local-image como us.gcr.io/my-project/test-image:

      docker tag local-image us.gcr.io/my-project/test-image
      

   2. Envía la imagen que etiquetaste. Por ejemplo, este comando envía la imagen us.gcr.io/my-project/test-image:

      docker push us.gcr.io/my-project/test-image
      

2. Enumera las imágenes del repositorio para verificar que la imagen se haya subido de forma correcta. Por ejemplo, para mostrar una lista de imágenes en us.gcr.io/my-project, ejecuta el siguiente comando:

   gcloud container images list --repository=us.gcr.io/my-project
   

3. Extrae la imagen del repositorio mediante la ruta de acceso de Container Registry. Por ejemplo, este comando extrae la imagen us.gcr.io/my-project/test-image.

   docker pull us.gcr.io/my-project/test-image
   

Después de esta prueba inicial, verifica que la automatización existente para compilar y, luego, implementar imágenes funcione como se espera, incluido lo siguiente:

• Los usuarios y las cuentas de servicio que usan Container Registry aún pueden enviar, extraer e implementar imágenes cuando el redireccionamiento está habilitado.
• Tu automatización solo envía imágenes a repositorios existentes.
• Si el análisis de vulnerabilidades de Artifact Analysis está habilitado, el análisis identifica imágenes con vulnerabilidades en los repositorios de gcr.io.
• Si usas la autorización binaria, tus políticas existentes funcionan de forma correcta para las imágenes implementadas desde repositorios de gcr.io.
• Las suscripciones a Pub/Sub configuradas incluyen notificaciones sobre los cambios en tus repositorios de gcr.io.

Limpia imágenes de Container Registry

Cuando el redireccionamiento está habilitado, los comandos para borrar imágenes en rutas de acceso gcr.io borran imágenes en el repositorio gcr.io correspondiente de Artifact Registry. Los comandos de borrado para borrar imágenes en las rutas de acceso de gcr.io no borran las imágenes almacenadas en los hosts de Container Registry.

Para quitar todas las imágenes de Container Registry de forma segura, borra los buckets de Cloud Storage de cada nombre de host de Container Registry.

Para borrar cada bucket de almacenamiento de Container Registry, haz lo siguiente:

gsutil rm -r gs://BUCKET-NAME

Removing gs://artifacts.my-project.appspot.com/...

Si otros servicios de Google Cloud se ejecutan en el mismo proyecto de Google Cloud, deja habilitada la API de Container Registry. Si intentas inhabilitar la API de Container Registry Container Registry muestra una advertencia si otros servicios con una dependencia configurada están habilitados en el proyecto. Si inhabilitas la API de Container Registry, se inhabilita automáticamente cualquier servicio del mismo proyecto con una dependencia configurada, incluso si actualmente no usas Container Registry con esos servicios.

¿Qué sigue?

• Prueba la Guía de inicio rápido de Docker.
• Obtén más información sobre los repositorios de gcr.io.