Artifact Registry est le service recommandé pour le stockage et la gestion d'images de conteneurs sur Google Cloud. En tant que service entièrement géré compatible avec les images de conteneurs et les artefacts sans conteneur, Artifact Registry étend les capacités de Container Registry.
Si vous utilisez actuellement Container Registry, consultez les informations de cette page pour en savoir plus sur la transition vers Artifact Registry. Bien que Container Registry soit toujours disponible et compatible en tant qu'API Google Enterprise, les nouvelles fonctionnalités ne seront disponibles que dans Artifact Registry. Container Registry ne recevra que les correctifs de sécurité critiques.
Présentation
Artifact Registry fournit les mêmes fonctionnalités de gestion de conteneurs que Container Registry et inclut des fonctionnalités et des avantages supplémentaires:
- Formats d'artefacts supplémentaires
Vous pouvez créer des dépôts pour les formats d'artefacts suivants:
- Dépôts régionaux
Container Registry ne fournit que des hôtes de registres multirégionaux. Artifact Registry fournit des hôtes de registre régionaux et multirégionaux.
- Plusieurs dépôts distincts dans un seul emplacement
Dans Container Registry, vous ne pouvez créer qu'un seul hôte de registre dans un emplacement multirégional, et tous les dépôts du registre partagent le même bucket de stockage. Dans Artifact Registry, chaque dépôt est une ressource distincte. Vous pouvez appliquer différents libellés et stratégies Identity and Access Management à chaque dépôt.
- Autorisations au niveau du dépôt
Dans Container Registry, vous accordez des autorisations pour chaque hôte de registre multirégional. Vous ne pouvez pas appliquer d'autorisations distinctes au niveau du dépôt. Artifact Registry permet de contrôler les accès au niveau du dépôt.
- Rôles IAM Artifact Registry
Dans Container Registry, vous contrôlez l'accès à l'aide des rôles Cloud Storage et devez transférer une image vers un hôte de registre avant de pouvoir configurer des autorisations pour l'hôte. Dans Artifact Registry, les rôles Artifact Registry permettent d'accorder l'accès. Il existe une séparation claire entre les rôles d'administrateur du dépôt et d'utilisateur du dépôt.
- Streaming d'images Google Kubernetes Engine
GKE peut diffuser des données à partir d'images éligibles à la demande de vos applications, afin que les charges de travail puissent s'initialiser sans attendre le téléchargement de l'image entière. Le streaming d'images permet un autoscaling plus rapide, un démarrage plus rapide des pods et une latence réduite lors de l'extraction d'images volumineuses.
- Déploiement source Cloud Run
Déployez de nouveaux services et de nouvelles révisions sur Cloud Run directement à partir du code source à l'aide d'une seule commande Google Cloud CLI. Le déploiement source crée une image de conteneur à partir de votre code, la stocke dans Artifact Registry et la déploie sur Cloud Run.
Rétrocompatibilité et coexistence
Vous pouvez utiliser Artifact Registry et Container Registry dans le même projet. Lorsque vous affichez une liste de dépôts avec gcloud
ou Google Cloud Console, Artifact Registry répertorie également les dépôts Container Registry dans le même projet.
Pour profiter des fonctionnalités étendues d'Artifact Registry, vous pouvez migrer vos conteneurs et votre automatisation vers Artifact Registry.
Options de transition
Vous pouvez passer à Artifact Registry en utilisant l'une de ces options:
- Dépôts standards (recommandé)
- Les dépôts Artifact Registry standards compatibles avec toutes les fonctionnalités sont entièrement indépendants des hôtes Container Registry existants.
- Dépôts compatibles avec le domaine gcr.io
Dépôts spéciaux mappés aux noms d'hôte
gcr.io
de Container Registry. Ces dépôts acceptent la redirection du trafic provenant de noms d'hôtegcr.io
vers les dépôts gcr.io correspondants de votre projet.Ces dépôts présentent des limites de fonctionnalités. Toutefois, si vous avez beaucoup de configuration d'outil, de scripts ou de code avec des références
gcr.io
, une approche plus tactique peut être nécessaire pour passer à Artifact Registry.
Les deux types de dépôts peuvent coexister pour que vous puissiez effectuer une transition progressive. Exemple :
- Vous pouvez créer des dépôts gcr.io dans Artifact Registry pour effectuer la transition de votre configuration Container Registry existante et créer des dépôts standards pour de nouveaux travaux.
- Vous pouvez adopter une approche à plusieurs étapes pour votre transition. Passez aux dépôts gcr.io dans Artifact Registry, puis passez progressivement à l'utilisation de dépôts standards lorsque vous mettez à jour votre automatisation pour qu'elle soit entièrement compatible avec les chemins d'accès aux dépôts et aux images Artifact Registry.
Configurer les dépôts
Dans Artifact Registry, vous devez créer des dépôts avant de pouvoir y transférer des images. Un élément clé du passage à Artifact Registry consiste à configurer des dépôts Artifact Registry et à les intégrer à votre automatisation CI/CD.
Pour plus de flexibilité, la représentation des dépôts par Artifact Registry a été modifiée.
- Container Registry
Chaque emplacement multirégional est associé à un seul bucket de stockage. L'organisation de vos images dans des dépôts sous un nom d'hôte est facultative. Prenons l'exemple suivant qui montre l'image
webapp
dans trois emplacements :us.gcr.io/my-project/webapp us.gcr.io/my-project/team1/webapp us.gcr.io/my-project/team2/webapp
Les dépôts ne constituent qu'un mécanisme d'organisation et ne limitent pas l'accès. Tout utilisateur ayant accès au bucket de stockage pour
us.gcr.io
dans ce projet peut accéder à toutes les versions de l'image de conteneurwebapp
.- Artifact Registry
Chaque dépôt est une ressource distincte de votre projet. Comme chaque dépôt est une ressource unique, vous pouvez :
- Attribuer un nom, une description et des libellés à chaque dépôt
- Créer plusieurs dépôts au même emplacement
- Configurer des autorisations spécifiques au dépôt
En outre, l'emplacement d'un dépôt peut être une région ou un emplacement multirégional.
Ces modifications vous donnent plus de contrôle sur vos dépôts. Par exemple, si vous avez des équipes à São Paulo et Sydney, vous pouvez créer un dépôt pour chaque équipe dans la région la plus proche géographiquement de l'emplacement multirégional le plus proche.
southamerica-east1-docker.pkg.dev/my-project/team1/webapp australia-southeast1-docker.pkg.dev/my-project/team2/webapp
Vous pouvez ensuite accorder à chaque équipe des autorisations sur leur dépôt d'équipe uniquement.
Consultez le guide de configuration pour obtenir des instructions sur la transition vers Artifact Registry.
Transférer et extraire des images
Pour vous aider à adapter la configuration, les commandes et la documentation existantes conçues pour Container Registry, les informations suivantes comparent la création, le transfert, l'extraction et le déploiement d'images.
- Modifications apportées à la création et au déploiement dans Google Cloud
- Changements liés au transfert et à l'extraction avec Docker
Comparatif des fonctionnalités
Cette section récapitule les modifications et les améliorations apportées aux fonctionnalités de Container Registry.
Extraction | Container Registry | Artifact Registry |
---|---|---|
Formats compatibles | Images de conteneurs uniquement | Plusieurs formats d'artefacts, y compris des images de conteneurs, des packages de langages et des packages de système d'exploitation. |
Dépôts |
|
|
Noms d'hôte | Les hôtes se trouvent sur le domaine gcr.io . |
Les hôtes se trouvent sur le domaine pkg.dev . Pour en savoir plus sur le format du nom, consultez la section Noms des dépôts et des artefacts.
Vous pouvez utiliser la compatibilité avec le domaine gcr.io pour rediriger automatiquement le trafic de vos hôtes |
Autorisations |
|
|
Authentification | Fournit plusieurs méthodes d'authentification pour transférer et extraire des images avec un client tiers. | Artifact Registry est compatible avec les mêmes méthodes d'authentification que Container Registry. Consultez la page Configurer l'authentification pour Docker pour en savoir plus.
Si vous utilisez l'assistant d'identification Docker :
|
Clés de chiffrement gérées par le client (CMEK) | Utilisez CMEK pour chiffrer les buckets de stockage contenant vos images. | Chiffrez des dépôts individuels avec le chiffrement CMEK |
Utiliser Google Cloud Console | Affichez et gérez les images Container Registry dans la section Container Registry de Google Cloud Console. | Affichez la liste de vos dépôts Artifact Registry et Container Registry dans la section Artifact Registry de Google Cloud Console. Gérez vos dépôts et images Artifact Registry à partir de cette page.
Si vous cliquez sur un dépôt Container Registry, vous êtes redirigé vers la liste des images de la section Container Registry de Google Cloud Console. |
Utiliser les commandes d'API et gcloud | Utilise les commandes gcloud container images. Les commandes sont compatibles avec les condensés raccourcis. Si vous ne spécifiez pas la chaîne de condensé complète, Container Registry tente de localiser l'image appropriée en fonction de la chaîne partielle. | Utilise les commandes gcloud artifacts docker. Les commandes ne sont pas compatibles avec les condensés raccourcis.
Pour obtenir une comparaison des commandes gcloud de Container Registry et d'Artifact Registry, consultez la comparaison des commandes gcloud. Artifact Registry inclut également une API permettant de gérer les dépôts et les artefacts dans tous les formats. |
Notifications Pub/Sub | Publie les modifications apportées au sujet gcr |
Publie les modifications apportées au sujet gcr Si vous créez des dépôts dans le même projet que votre service Container Registry existant, votre configuration Pub/Sub existante fonctionne automatiquement.
Pour en savoir plus, consultez la section Configurer les notifications Pub/Sub. |
Images Docker Hub mises en cache | Met en cache les images Docker Hub les plus demandées sur mirror.gcr.io . |
mirror.gcr.io continue de mettre en cache les images fréquemment demandées de Docker Hub. |
VPC Service Controls | Vous pouvez ajouter Container Registry à un périmètre de service. | Vous pouvez ajouter Artifact Registry à un périmètre de service. |
Stockage et analyse des métadonnées avec Container Analysis | Permet d'analyser les failles des packages du système d'exploitation et de la langue grâce à l'analyse à la demande des images si le système d'exploitation est compatible. L'analyse automatique ne renvoie que les informations sur les failles de l'OS.
En savoir plus sur les types d'analyse
|
Analyse les failles des systèmes d'exploitation et des langues à la demande, et les analyses automatiques.
En savoir plus sur les types d'analyse
|
Images fournies par Google | Les images fournies par Google sont hébergées sur gcr.io . Voici quelques exemples :
|
Les images fournies par Google restent disponibles sur gcr.io . |
Streaming d'images | Indisponible | GKE peut diffuser des données à partir d'images éligibles dans Artifact Registry pour accélérer l'autoscaling, accélérer le démarrage des pods et réduire la latence lors de l'extraction d'images volumineuses. |
Déploiement source dans Cloud Run | Indisponible | Le déploiement source vous permet d'utiliser une seule commande de gcloud CLI pour créer une image de conteneur à partir de votre code source, stocker l'image dans Artifact Registry et la déployer sur Cloud Run. |
Tarif | Les tarifs de Container Registry sont basés sur l'utilisation de Cloud Storage, y compris le stockage et la sortie réseau. | Artifact Registry possède sa propre tarification, basée sur le stockage et la sortie réseau. |