Transición a repositorios estándar

Si actualmente usas Container Registry para administrar tus imágenes de contenedor, esta se explica cómo configurar un repositorio estándar de Artifact Registry y cómo usar repositorios difiere de usar Container Registry.

Estas instrucciones son principalmente para administradores de repositorios. Para obtener información sobre cómo cambió la compilación, el envío, la extracción y la implementación de imágenes, consulta el la siguiente información:

Antes de comenzar

  1. Habilita la API de Artifact Registry desde la Consola de Google Cloud o con el comando:

    gcloud services enable artifactregistry.googleapis.com

  2. Instala gcloud CLI si aún no lo hiciste. Para una instalación existente, ejecuta el siguiente comando para actualizar los componentes a las versiones más recientes:

    gcloud components update

  3. Obtén información sobre los precios de Artifact Registry antes cuando comiences la transición.

Roles obligatorios

A fin de obtener los permisos que necesita para configurar los repositorios de gcr.io, solicita a tu administrador que te otorgue el los siguientes roles de IAM en el proyecto de Google Cloud:

  • Para crear repositorios de Artifact Registry y otorgar acceso a repositorios individuales, debes tener el rol de Administrador de Artifact Registry (roles/artifactregistry.admin).
  • Para ver y administrar la configuración existente de Container Registry aplicada a los buckets de almacenamiento de Cloud Storage, sigue estos pasos: Administrador de almacenamiento (roles/storage.admin)
  • Para otorgar acceso al repositorio a nivel del proyecto, debes tener el rol de administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) o un rol que incluya permisos equivalentes, como administrador de carpetas (roles/resourcemanager.folderAdmin) o administrador de organización (roles/resourcemanager.organizationAdmin).

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Descripción general

Los repositorios estándar son repositorios normales de Artifact Registry que admiten todas las funciones.

Para mayor simplicidad, en las instrucciones de esta página, se supone que Container Registry y Artifact Registry están en el mismo proyecto de Google Cloud. Puedes seguir usando ambos servicios mientras te trasladas a Artifact Registry, de forma que puedas realizar los pasos de configuración de forma gradual y actualizar tu automatización. Si es necesario, puedes configurar Artifact Registry en otro proyecto y realizar los mismos pasos generales.

Artifact Registry también ofrece repositorios de gcr.io. Estos repositorios pueden redireccionar el tráfico de gcr.io de tus registros existentes a los repositorios de Artifact Registry correspondientes. Ofrecen algunas retrocompatibilidad con Container Registry, pero también tienen algunas funciones limitaciones. Sin embargo, si tienes mucha configuración de herramientas, secuencias de comandos o código con referencias de gcr.io, es posible que se requiera un enfoque más táctico para realizar la transición a Artifact Registry. Revisa el la documentación de transición para con compatibilidad con el dominio gcr.io para crear una la decisión adecuada.

Pasos para la transición

En esta guía, se muestra cómo completar los siguientes pasos:

  1. Crea un repositorio de Docker para tus contenedores. Debes crear un repositorio para poder enviar imágenes a este.
  2. Otorga permisos al repositorio.
  3. Configura la autenticación para que puedas conectarte con tu repositorio nuevo.
  4. Si es necesario, copia imágenes desde Container Registry. que quieres usar en tu nuevo repositorio.
  5. Intenta enviar y extraer tus contenedores.
  6. Intenta implementar tus imágenes en un entorno de ejecución.
  7. Configura las funciones adicionales.
  8. Limpia las imágenes en Container Registry cuando se complete la transición.

Crea repositorios

Container Registry crea automáticamente un bucket de almacenamiento en una multirregión si no enviaste una imagen allí antes.

En Artifact Registry, debes crear un repositorio antes de poder subir imágenes. Cuando creas un repositorio, debes especificar lo siguiente:

  • El formato del repositorio. Artifact Registry almacena contenedores en repositorios de Docker.

  • Una ubicación regional o multirregional para el repositorio.

    Cuando elijas una ubicación para tus repositorios de Artifact Registry, ten en cuenta la proximidad de los repositorios con tu otra infraestructura y tus usuarios. Si planeas copiar imágenes de Container Registry a Artifact Registry, las diferencias en la ubicación pueden afectar el costo de copia.

  • Una clave de Cloud Key Management Service, si usas claves de encriptación administradas por el cliente (CMEK) para la encriptación.

    En Container Registry, configuras el bucket de almacenamiento de Container Registry para usar CMEK. En Artifact Registry, configuras los repositorios para que usen CMEK cuando los creas. Para obtener más información sobre el uso de CMEK con Artifact Registry, consulta Cómo habilitar claves de encriptación administradas por el cliente.

Container Registry aloja contenedores en el dominio gcr.io. Artifact Registry aloja contenedores en el dominio pkg.dev.

Si deseas obtener más información sobre cómo crear repositorios, incluidos los que usan CMEK para la encriptación, consulta Crea repositorios.

Otorgar permisos

Container Registry usa roles de Cloud Storage para controlar el acceso. Artifact Registry tiene su propio IAM roles y estos roles separan los roles de administración de repositorios, operaciones de lectura, escritura y Container Registry.

Para asignar rápidamente los permisos existentes otorgados en los buckets de almacenamiento a los roles sugeridos de Artifact Registry, usa la herramienta de asignación de roles.

Como alternativa, puedes ver una lista de principales con acceso a los buckets de almacenamiento con la consola de Google Cloud.

  1. En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. Haz clic en el bucket de almacenamiento del host de registro que quieres ver. En los nombres de los buckets, PROJECT-ID es el ID de tu proyecto de Google Cloud.

    • gcr.io: artifacts.PROJECT-ID.appspot.com
    • asia.gcr.io: asia.artifacts.PROJECT-ID.appspot.com
    • eu.gcr.io: eu.artifacts.PROJECT-ID.appspot.com
    • us.gcr.io: us.artifacts.PROJECT-ID.appspot.com

  3. Haz clic en la pestaña Permisos.

  4. En la pestaña Permisos, haz clic en la subpestaña Ver por rol.

  5. Expande un rol para ver las principales que lo tienen.

La lista incluye los roles de IAM otorgados directamente en el bucket y roles heredados del proyecto superior. Según el rol, puedes elegir el rol de Artifact Registry más adecuado para otorgar.

Cloud Storage y roles básicos

Otorga a los usuarios y las cuentas de servicio que actualmente acceden a Container Registry con acceso a repositorios de Artifact Registry. En el caso de los roles de Cloud Storage que se heredan del proyecto superior, debes verificar que el principal use actualmente Container Registry. Es posible que algunas principales solo accedan a otros buckets de Cloud Storage que no están relacionados con Container Registry.

Los roles básicos de propietario, editor y visualizador que existían antes de IAM tienen acceso limitado a buckets de almacenamiento. No otorgan de forma intrínseca todo el acceso a los recursos de Cloud Storage que implican sus nombres ni proporcionan permisos adicionales para otros servicios de Google Cloud. Verifica qué usuarios y cuentas de servicio requieren acceso a Artifact Registry y usa la tabla de asignación de roles como ayuda otorgas los roles correctos si el acceso a Artifact Registry es adecuado.

En la siguiente tabla, se asignan los roles de Artifact Registry según los permisos otorgados por los roles predefinidos de Cloud Storage para el acceso a Container Registry. Los roles de Artifact Registry proporcionan una separación adicional de permisos que no está disponible en los roles predefinidos de Cloud Storage.

Acceso obligatorio Rol actual Rol de Artifact Registry Dónde otorgar el rol
Extraer solo imágenes (solo lectura) Visualizador de objetos de almacenamiento
(roles/storage.objectViewer)		 Lector de Artifact Registry
(roles/artifactregistry.reader) 		Repositorio de Artifact Registry o proyecto de Google Cloud
Envía y extrae imágenes (lectura y escritura) Escritor de buckets heredados de almacenamiento
(roles/storage.legacyBucketWriter)		 Escritor de Artifact Registry
(roles/artifactregistry.writer)		 Repositorio de Artifact Registry o proyecto de Google Cloud
Envía, extrae y borra imágenes Escritor de buckets heredados de Storage
(roles/storage.legacyBucketWriter)		 Administrador de repositorio de Artifact Registry
(roles/artifactregistry.repoAdmin)		 Repositorio de Artifact Registry o proyecto de Google Cloud
Crea, administra y borra repositorios Administrador de almacenamiento
(roles/storage.admin)		 Administrador de Artifact Registry
(roles/artifactregistry.Admin)		 Proyecto de Google Cloud
Roles del agente de servicio heredados del proyecto

Las cuentas de servicio predeterminadas de los servicios de Google Cloud tienen sus propios roles otorgados a nivel del proyecto. Por ejemplo, el agente de servicio para Cloud Run tiene el rol de agente de servicio de Cloud Run.

En la mayoría de los casos, estos roles del agente de servicio contienen valores predeterminados los permisos para Container Registry y Artifact Registry no es necesario que hagas cambios adicionales si ejecutas Usa Artifact Registry en el mismo proyecto que tu Container Registry existente. servicio.

Consulta la referencia de roles de agente de servicio para obtener detalles sobre los permisos de los roles de agente de servicio.

Funciones personalizadas

Usa la tabla de asignación de roles para decidir el rol que otorgarás a los usuarios o a las cuentas de servicio según el nivel de acceso que requieran.

Para obtener instrucciones sobre cómo otorgar roles de Artifact Registry, consulta Configura roles y permisos.

Autentícate en el repositorio

Artifact Registry admite los mismos métodos de autenticación que Container Registry.

Si usas el auxiliar de credenciales de Docker, haz lo siguiente:

  • Debes usar la versión 2.0 o una posterior para interactuar con los repositorios de Artifact Registry. La versión independiente está disponible en GitHub.
  • Debes configurar el auxiliar de credenciales con las ubicaciones de Artifact Registry que deseas usar. De forma predeterminada, el auxiliar de credenciales solo configura el acceso a los hosts de Container Registry.

Si quieres obtener detalles sobre cómo configurar la autenticación, consulta Configura la autenticación para Docker.

Copia contenedores desde Container Registry

Si hay contenedores en Container Registry que desees seguir usando en Artifact Registry, existen varias opciones para copiarlos. Para obtener instrucciones detalladas, consulta Copia imágenes de Container Registry.

Envía y extrae imágenes

Los comandos de Docker que usas para etiquetar, enviar y extraer imágenes Artifact Registry son similares a las que usas en Container Registry. Existen dos diferencias clave:

  • El nombre de host de los repositorios de Docker de Artifact Registry incluye un prefijo de ubicación, seguido de -docker.pkg.dev. Los ejemplos incluyen australia-southeast1-docker.pkg.dev, europe-north1-docker.pkg.dev, y europe-docker.pkg.dev.
  • Como Artifact Registry admite varios repositorios de Docker en un solo proyecto, debes especificar el nombre del repositorio en los comandos.

Por ejemplo, en Container Registry, este comando envía la imagen my-image al registro eu.gcr.io en el proyecto my-project.

docker push eu.gcr.io/my-project/my-image

En Artifact Registry, este comando envía la imagen my-image al repositorio regional europe-north1-docker.pkg.dev en el repositorio my-repo y el proyecto my-project.

docker push europe-north1-docker.pkg.dev/my-project/my-repo/my-image

Para obtener más información sobre cómo enviar y extraer imágenes en Artifact Registry, consulta Cómo enviar y extraer imágenes.

Implementa imágenes

Las cuentas de servicio para las integraciones comunes de Google Cloud tienen las siguientes características: configurado con permisos predeterminados para repositorios en mismo proyecto.

La compilación de imágenes y su envío a un repositorio con Cloud Build en general funciona de la misma manera que en Container Registry. La diferencia clave en Artifact Registry es que debe existir un repositorio de destino antes de enviar imágenes a este, incluida la primera imagen que envías.

Asegúrate de crear los repositorios que necesitas antes de ejecutar los comandos que envían imágenes, incluidos el comando de Docker docker push y el comando de Cloud Build gcloud builds submit.

Los compiladores de Cloud Build aún se alojan en gcr.io. Para obtener más información, consulta Integración en Cloud Build.

Otras funciones

En esta sección, se describe la configuración de otras funciones que puedes haber configurado en Container Registry.

Artifact Analysis

Artifact Analysis admite Container Registry y Artifact Registry. La documentación de Artifact Analysis incluye ambos productos.

  • Ambos productos usan las mismas APIs de Artifact Analysis. Cuándo habilitas las APIs de Artifact Analysis en Container Registry o En Artifact Registry, las APIs están activadas para ambos productos.
  • Ambos productos usan los mismos temas de Pub/Sub para Notificaciones de Artifact Analysis.
  • Puedes seguir usando los comandos gcloud container images para enumerar las notas y las ocurrencias asociadas con las rutas de acceso de las imágenes de gcr.io.
Container Registry Artifact Registry
Busca vulnerabilidades de SO y de paquetes de idioma con análisis a pedido. en imágenes con un SO compatible. El análisis automático solo devuelve resultados de información sobre vulnerabilidades. Obtén más información sobre los tipos de escaneo.
Análisis a pedido
Búsqueda automática
  • El comando de Google Cloud CLI gcloud container images incluye marcas para ver los resultados del análisis incluidas las vulnerabilidades y otros metadatos.
  • Los análisis solo muestran información de vulnerabilidades del SO para las imágenes en Container Registry con sistemas operativos compatibles.
Analiza vulnerabilidades de paquetes de SO y de idioma con conjuntos de datos análisis automático. Más información sobre los tipos de en tiempo real.
Análisis a pedido
Búsqueda automática
  • El comando de Google Cloud CLI gcloud imágenes de Docker de artefactos incluye marcas para ver los resultados del análisis. incluidas las vulnerabilidades y otros metadatos.
  • Los análisis devuelven información sobre vulnerabilidades del SO para imágenes en Artifact Registry con los sistemas operativos compatibles y el paquete de idiomas información sobre vulnerabilidades para los sistemas operativos y sistemas.

Notificaciones de Pub/Sub

Artifact Registry publica cambios en el mismo tema gcr que Container Registry. No se requiere ninguna configuración adicional si ya usas Pub/Sub con Container Registry en el mismo proyecto que Artifact Registry.

Si configuras Artifact Registry en un proyecto diferente, es posible que el tema gcr no exista. Para obtener instrucciones de configuración, consulta Configura notificaciones de Pub/Sub.

Perímetros de servicio

Con los Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de tus servicios administrados por Google y controlar el movimiento de datos en los límites perimetrales.

Consulta Asegura repositorios en un perímetro de servicio para obtener instrucciones.

Limpia las imágenes de Container Registry

Cuando estés listo para dejar de usar Container Registry, borra los archivos restantes a través de la eliminación de los buckets de almacenamiento de Container Registry.

Para borrar cada bucket de almacenamiento de Container Registry, sigue estos pasos:

Console

  1. Ve a la página de Cloud Storage en la consola de Google Cloud.

  2. Selecciona el bucket de almacenamiento que quieres borrar. En los nombres de bucket, PROJECT-ID es tu cuenta de Google Cloud ID del proyecto:

    • gcr.io: artifacts.PROJECT-ID.appspot.com
    • asia.gcr.io: asia.artifacts.PROJECT-ID.appspot.com
    • eu.gcr.io: eu.artifacts.PROJECT-ID.appspot.com
    • us.gcr.io: us.artifacts.PROJECT-ID.appspot.com

  3. Haz clic en Borrar. Aparecerá un cuadro de diálogo de confirmación.

  4. Para confirmar la eliminación, ingresa el nombre del bucket y, luego, haz clic en Borrar.

gcloud

Si deseas borrar de forma masiva cien mil imágenes o más en un bucket, evita usar la CLI de gcloud, ya que el proceso de eliminación tarda mucho tiempo en completarse. En su lugar, usa la consola de Google Cloud para realizar la operación. Para obtener más información, consulta cómo borrar objetos de Cloud Storage de forma masiva.

Para borrar un bucket, usa gcloud storage rm. con la marca --recursive.

gcloud storage rm gs://BUCKET-NAME --recursive

Reemplaza BUCKET-NAME por el almacenamiento de Container Registry. el nombre del bucket. En los nombres de los buckets, PROJECT-ID es el ID de tu proyecto de Google Cloud.

  • gcr.io: artifacts.PROJECT-ID.appspot.com
  • asia.gcr.io: asia.artifacts.PROJECT-ID.appspot.com
  • eu.gcr.io: eu.artifacts.PROJECT-ID.appspot.com
  • us.gcr.io: us.artifacts.PROJECT-ID.appspot.com

La respuesta se ve como el siguiente ejemplo:

Removing gs://artifacts.my-project.appspot.com/...

Si se ejecutan otros servicios de Google Cloud en el mismo proyecto de Google Cloud, deja habilitada la API de Container Registry. Si intentas Inhabilitar la API de Container Registry. Container Registry muestra una advertencia si se habilitan otros servicios con una dependencia configurada en el proyecto. Si inhabilitas la API de Container Registry, se inhabilitarán automáticamente todos los servicios del mismo proyecto con una dependencia configurada, incluso si no estás usando Container Registry con esos servicios.

¿Qué sigue?