Transición a repositorios estándar

Si actualmente usas Container Registry para administrar tus imágenes de contenedor, en esta página, se explica cómo configurar un repositorio estándar de Artifact Registry y en qué se diferencia el uso de repositorios de usar Container Registry.

Estas instrucciones son principalmente para los administradores de repositorios. Para saber cómo cambiaron la compilación, el envío, la extracción y la implementación de imágenes, consulta la siguiente información:

Antes de comenzar

  1. Habilita la API de Artifact Registry desde la consola de Google Cloud o con el siguiente comando:

    gcloud services enable artifactregistry.googleapis.com

  2. Instala la gcloud CLI si aún no está instalada. En una instalación existente, ejecuta el siguiente comando para actualizar los componentes a las versiones más recientes:

    gcloud components update

  3. Obtén información sobre los pricing de Artifact Registry antes de comenzar la transición.

Funciones obligatorias

A fin de obtener los permisos que necesitas para configurar los repositorios de gcr.io, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto de Google Cloud:

  • Para crear repositorios de Artifact Registry y otorgar acceso a repositorios individuales, haz lo siguiente: Administrador de Artifact Registry (roles/artifactregistry.admin)
  • Para ver y administrar la configuración existente de Container Registry aplicada a los buckets de almacenamiento de Cloud Storage, haz lo siguiente: Administrador de almacenamiento (roles/storage.admin)
  • Para otorgar acceso al repositorio a nivel de proyecto: Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) o un rol que incluya permisos equivalentes, como Administrador de carpetas (roles/resourcemanager.folderAdmin) o Administrador de la organización (roles/resourcemanager.organizationAdmin)

Si quieres obtener más información para otorgar funciones, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.

Descripción general

Los repositorios estándar son repositorios normales de Artifact Registry que admiten todas las funciones.

Para mayor simplicidad, en las instrucciones de esta página, se supone que Container Registry y Artifact Registry están en el mismo proyecto de Google Cloud. Puedes seguir usando ambos servicios mientras realizas la transición a Artifact Registry para realizar los pasos de configuración de forma gradual y actualizar la automatización. Si es necesario, puedes configurar Artifact Registry en un proyecto separado y realizar los mismos pasos generales.

Artifact Registry también ofrece repositorios de gcr.io. Estos repositorios pueden redireccionar el tráfico gcr.io de tus registros existentes a los repositorios correspondientes de Artifact Registry. Proporcionan retrocompatibilidad con Container Registry, pero también tienen algunas limitaciones de características. Sin embargo, si tienes muchas configuraciones de herramientas, secuencias de comandos o código con referencias a gcr.io, es posible que se necesite un enfoque más táctico para hacer la transición a Artifact Registry. Revisa la documentación de transición de los repositorios compatibles con el dominio gcr.io para ayudarte a tomar la decisión adecuada.

Pasos para la transición

En esta guía, se muestra cómo completar los siguientes pasos:

  1. Crea un repositorio de Docker para tus contenedores. Debes crear un repositorio para poder enviar imágenes a este.
  2. Otorga permisos al repositorio.
  3. Configura la autenticación para que puedas conectarte con tu repositorio nuevo.
  4. Si es necesario, copia las imágenes de Container Registry que deseas usar en tu repositorio nuevo.
  5. Intenta enviar y extraer tus contenedores.
  6. Intenta implementar tus imágenes en un entorno de ejecución.
  7. Configura las funciones adicionales.
  8. Limpia imágenes en Container Registry cuando se complete la transición.

Crea repositorios

Container Registry crea automáticamente un bucket de almacenamiento en una multirregión si no enviaste una imagen allí antes.

En Artifact Registry, debes crear un repositorio antes de poder subir imágenes. Cuando creas un repositorio, debes especificar lo siguiente:

  • El formato del repositorio. Artifact Registry almacena contenedores en repositorios de Docker.

  • Una ubicación regional o multirregional para el repositorio.

    Cuando elijas una ubicación para tus repositorios de Artifact Registry, ten en cuenta la proximidad de los repositorios con tu otra infraestructura y tus usuarios. Si planeas copiar imágenes de Container Registry a Artifact Registry, las diferencias en la ubicación pueden afectar el costo de copia.

  • Una clave de Cloud Key Management Service, si usas claves de encriptación administradas por el cliente (CMEK) para la encriptación.

    En Container Registry, configuras el bucket de almacenamiento de Container Registry para usar CMEK. En Artifact Registry, configuras los repositorios para usar CMEK cuando los creas. Para obtener más información sobre el uso de CMEK con Artifact Registry, consulta Habilita las claves de encriptación administradas por el cliente.

Container Registry aloja contenedores en el dominio gcr.io. Artifact Registry aloja contenedores en el dominio pkg.dev.

Si deseas obtener más información sobre cómo crear repositorios, incluidos los que usan CMEK para la encriptación, consulta Crea repositorios.

Otorga permisos

Container Registry usa roles de Cloud Storage para controlar el acceso. Artifact Registry tiene sus propias funciones de IAM, y estas separan las funciones de lectura, escritura y administración de repositorios con mayor claridad que Container Registry.

Para asignar con rapidez los permisos existentes que se otorgaron en los buckets de almacenamiento a las funciones sugeridas de Artifact Registry, usa la herramienta de asignación de funciones.

Como alternativa, puedes ver una lista de principales con acceso a buckets de almacenamiento mediante la consola de Google Cloud.

  1. En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. Haz clic en el bucket de almacenamiento del host de registro que quieres ver. En los nombres de bucket, PROJECT-ID es el ID del proyecto de Google Cloud.

    • gcr.io: artifacts.PROJECT-ID.appspot.com
    • asia.gcr.io: asia.artifacts.PROJECT-ID.appspot.com
    • eu.gcr.io: eu.artifacts.PROJECT-ID.appspot.com
    • us.gcr.io: us.artifacts.PROJECT-ID.appspot.com

  3. Haz clic en la pestaña Permisos.

  4. En la pestaña Permisos, haz clic en la pestaña secundaria Ver por rol.

  5. Expande un rol para ver las principales que tienen ese rol.

La lista incluye roles de IAM otorgados directamente en el bucket y roles heredados del proyecto superior. Según el rol, puedes elegir el rol de Artifact Registry más apropiado para otorgar.

Cloud Storage y roles básicos

Otorga acceso a los repositorios de Artifact Registry a los usuarios y las cuentas de servicio que actualmente acceden a Container Registry. Para las funciones de Cloud Storage heredadas del proyecto superior, debes verificar que la principal use actualmente Container Registry. Es posible que algunas principales solo accedan a otros buckets de Cloud Storage que no están relacionados con Container Registry.

Los roles básicos de propietario, editor y visualizador que existían antes de IAM tienen acceso limitado a los buckets de almacenamiento. No otorgan de forma intrínseca todo el acceso a los recursos de Cloud Storage que implican sus nombres y proporcionan permisos adicionales para otros servicios de Google Cloud. Verifica qué usuarios y cuentas de servicio requieren acceso a Artifact Registry y usa la tabla de asignación de funciones para ayudarte a otorgar los roles correctos si el acceso a Artifact Registry es adecuado.

En la siguiente tabla, se asignan los roles de Artifact Registry según los permisos que otorgan los roles predefinidos de Cloud Storage para el acceso a Container Registry. Las funciones de Artifact Registry proporcionan una separación adicional de permisos que no está disponible en los roles predefinidos de Cloud Storage.

Acceso obligatorio Rol actual Rol de Artifact Registry Dónde otorgar el rol
Extraer imágenes únicamente (solo lectura) Visualizador de objetos de Storage
(roles/storage.objectViewer)		 Lector de Artifact Registry
(roles/artifactregistry.reader)) 		Repositorio de Artifact Registry o proyecto de Google Cloud
Envía y extrae imágenes (de lectura y escritura) Escritor de buckets heredados de almacenamiento
(roles/storage.legacyBucketWriter)		 Escritor de Artifact Registry
(roles/artifactregistry.writer))		 Repositorio de Artifact Registry o proyecto de Google Cloud
Envía, extrae y borra imágenes Escritor de buckets heredados de almacenamiento
(roles/storage.legacyBucketWriter)		 Administrador del repositorio de Artifact Registry
(roles/artifactregistry.repoAdmin))		 Repositorio de Artifact Registry o proyecto de Google Cloud
Crea, administra y borra repositorios Administrador de almacenamiento
(roles/storage.admin)		 Administrador de Artifact Registry
(roles/artifactregistry.Admin)		 Proyecto de Google Cloud
Roles de agente de servicio heredados del proyecto

Las cuentas de servicio predeterminadas para los servicios de Google Cloud tienen sus propias funciones otorgadas a nivel de proyecto. Por ejemplo, el agente de servicio para Cloud Run tiene el rol Agente de servicio de Cloud Run.

En la mayoría de los casos, estos roles de agente de servicio contienen permisos predeterminados equivalentes para Container Registry y Artifact Registry, y no es necesario que realices ningún cambio adicional si ejecutas Artifact Registry en el mismo proyecto que tu servicio de Container Registry existente.

Consulta la referencia de la función de agente de servicio para obtener detalles sobre los permisos en las funciones de agente de servicio.

Roles personalizados

Usa la tabla de asignación de funciones para decidir qué función otorgar a los usuarios o cuentas de servicio según el nivel de acceso que requieren.

Si necesitas instrucciones para otorgar roles de Artifact Registry, consulta Configura roles y permisos.

Autentícate en el repositorio

Artifact Registry admite los mismos métodos de autenticación que Container Registry.

Si usas el auxiliar de credenciales de Docker, haz lo siguiente:

  • Debes usar la versión 2.0 o una posterior para interactuar con los repositorios de Artifact Registry. La versión independiente está disponible en GitHub.
  • Debes configurar el auxiliar de credenciales con las ubicaciones de Artifact Registry que deseas usar. De forma predeterminada, el auxiliar de credenciales solo configura el acceso a los hosts de Container Registry.

Si quieres obtener detalles sobre cómo configurar la autenticación, consulta Configura la autenticación para Docker.

Copia contenedores desde Container Registry

Si hay contenedores en Container Registry que desees seguir usando en Artifact Registry, existen varias opciones para copiarlos. Para obtener instrucciones detalladas, consulta Copia imágenes desde Container Registry.

Envía y extrae imágenes

Los comandos de Docker que usas para etiquetar, enviar y extraer imágenes en Artifact Registry son similares a los que usas en Container Registry. Existen dos diferencias clave:

  • El nombre de host para los repositorios de Docker de Artifact Registry incluye un prefijo de ubicación seguido de -docker.pkg.dev. Entre los ejemplos, se incluyen australia-southeast1-docker.pkg.dev, europe-north1-docker.pkg.dev y europe-docker.pkg.dev.
  • Como Artifact Registry admite varios repositorios de Docker en un solo proyecto, debes especificar el nombre del repositorio en los comandos.

Por ejemplo, en Container Registry, este comando envía la imagen my-image al registro eu.gcr.io en el proyecto my-project.

docker push eu.gcr.io/my-project/my-image

En Artifact Registry, este comando envía la imagen my-image al repositorio regional europe-north1-docker.pkg.dev en el repositorio my-repo y el proyecto my-project.

docker push europe-north1-docker.pkg.dev/my-project/my-repo/my-image

Para obtener más información sobre cómo enviar y extraer imágenes en Artifact Registry, consulta Cómo enviar y extraer imágenes.

Implementa imágenes

Las cuentas de servicio para integraciones comunes de Google Cloud se configuran con permisos predeterminados para los repositorios en el mismo proyecto.

La compilación de imágenes y su envío a un repositorio con Cloud Build en general funciona de la misma manera que en Container Registry. La diferencia clave en Artifact Registry es que debe existir un repositorio de destino antes de enviar imágenes a este, incluida la primera imagen que envías.

Asegúrate de crear los repositorios que necesitas antes de ejecutar los comandos que envían imágenes, incluidos el comando de Docker docker push y el comando de Cloud Build gcloud builds submit.

Los compiladores de Cloud Build aún se alojan en gcr.io. Para obtener más información, consulta Integración en Cloud Build.

Otras funciones

En esta sección, se describe la configuración de otras funciones que puedes haber configurado en Container Registry.

Artifact Analysis

Artifact Analysis es compatible con Container Registry y Artifact Registry. En la documentación de Artifact Analysis, se incluyen ambos productos.

  • Ambos productos usan las mismas APIs de Artifact Analysis. Cuando habilitas las APIs de Artifact Analysis en Container Registry o Artifact Registry, las APIs se activan para ambos productos.
  • Ambos productos usan los mismos temas de Pub/Sub para las notificaciones de Artifact Analysis.
  • Puedes seguir usando los comandos de gcloud container images para enumerar las notas y los casos asociados con las rutas de acceso de imagen gcr.io.
Container Registry Artifact Registry
Analiza las vulnerabilidades de paquetes de lenguajes y SO con análisis a pedido en imágenes con un SO compatible. El análisis automático solo muestra información sobre las vulnerabilidades del SO. Obtén más información sobre los tipos de análisis.
Análisis a pedido
Búsqueda automática
  • El comando gcloud container images de Google Cloud CLI incluye marcas para ver los resultados del análisis, como vulnerabilidades y otros metadatos.
  • Los análisis solo muestran información de vulnerabilidades del SO para imágenes en Container Registry con sistemas operativos compatibles.
Análisis de vulnerabilidades de SO y paquetes de idioma con análisis automático y a pedido. Obtén más información sobre los tipos de análisis.
Análisis a pedido
Búsqueda automática
  • El comando gcloud artefactos docker images de Google Cloud CLI incluye marcas para ver los resultados del análisis, como vulnerabilidades y otros metadatos.
  • Los análisis muestran información de vulnerabilidades del SO para imágenes en Artifact Registry con sistemas operativos compatibles y, además, información sobre vulnerabilidades de paquetes de lenguajes para sistemas operativos compatibles y no compatibles.

Notificaciones de Pub/Sub

Artifact Registry publica cambios en el mismo tema gcr que Container Registry. No se requiere ninguna configuración adicional si ya usas Pub/Sub con Container Registry en el mismo proyecto que Artifact Registry.

Si configuras Artifact Registry en un proyecto diferente, es posible que el tema gcr no exista. Para obtener instrucciones de configuración, consulta Configura notificaciones de Pub/Sub.

Perímetros de servicio

Con los Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de tus servicios administrados por Google y controlar el movimiento de datos en los límites perimetrales.

Consulta Asegura repositorios en un perímetro de servicio para obtener instrucciones.

Limpia imágenes de Container Registry

Cuando estés listo para dejar de usar Container Registry, borra las imágenes restantes mediante la eliminación de los buckets de almacenamiento de Container Registry.

Para borrar cada bucket de almacenamiento de Container Registry, haz lo siguiente:

Console

  1. Ve a la página de Cloud Storage en la consola de Google Cloud.

  2. Selecciona el bucket de almacenamiento que quieres borrar. En los nombres de bucket, PROJECT-ID es el ID del proyecto de Google Cloud.

    • gcr.io: artifacts.PROJECT-ID.appspot.com
    • asia.gcr.io: asia.artifacts.PROJECT-ID.appspot.com
    • eu.gcr.io: eu.artifacts.PROJECT-ID.appspot.com
    • us.gcr.io: us.artifacts.PROJECT-ID.appspot.com

  3. Haz clic en Borrar. Aparecerá un cuadro de diálogo de confirmación.

  4. Para confirmar la eliminación, ingresa el nombre del bucket y, luego, haz clic en Borrar.

gsutil

Si deseas borrar de forma masiva cien mil imágenes o más de un bucket, evita usar gsutil, ya que el proceso de eliminación tarda mucho tiempo en completarse. Usa la consola de Google Cloud para realizar la operación.

Para borrar un bucket, usa el comando gsutil rm con la marca -r.

gsutil rm -r gs://BUCKET-NAME

Reemplaza BUCKET-NAME por el nombre del bucket de almacenamiento de Container Registry. En los nombres de bucket, PROJECT-ID es el ID del proyecto de Google Cloud.

  • gcr.io: artifacts.PROJECT-ID.appspot.com
  • asia.gcr.io: asia.artifacts.PROJECT-ID.appspot.com
  • eu.gcr.io: eu.artifacts.PROJECT-ID.appspot.com
  • us.gcr.io: us.artifacts.PROJECT-ID.appspot.com

La respuesta se ve como el siguiente ejemplo:

Removing gs://artifacts.my-project.appspot.com/...

Si otros servicios de Google Cloud se ejecutan en el mismo proyecto de Google Cloud, deja habilitada la API de Container Registry. Si intentas inhabilitar la API de Container Registry Container Registry muestra una advertencia si otros servicios con una dependencia configurada están habilitados en el proyecto. Si inhabilitas la API de Container Registry, se inhabilita automáticamente cualquier servicio del mismo proyecto con una dependencia configurada, incluso si actualmente no usas Container Registry con esos servicios.

¿Qué sigue?