Transition depuis Container Registry

Artifact Registry est le service recommandé pour le stockage et la gestion d'images de conteneurs sur Google Cloud. En tant que service entièrement géré compatible avec les images de conteneurs et les artefacts sans conteneur, Artifact Registry étend les capacités de Container Registry.

Si vous utilisez actuellement Container Registry, consultez les informations de cette page pour en savoir plus sur la transition vers Artifact Registry. Bien que Container Registry soit toujours disponible et compatible en tant qu'API Google Enterprise, les nouvelles fonctionnalités ne seront disponibles que dans Artifact Registry. Container Registry ne recevra que les correctifs de sécurité critiques.

Présentation

Artifact Registry fournit les mêmes fonctionnalités de gestion de conteneurs que Container Registry et inclut des fonctionnalités et des avantages supplémentaires:

Formats d'artefacts supplémentaires

Vous pouvez créer des dépôts pour les formats d'artefacts suivants:

• Images de conteneur : docker, Helm
• Packages linguistiques: Java, Node.js, Python
• Packages d'OS : Debian, RPM

Dépôts régionaux

Container Registry ne fournit que des hôtes de registres multirégionaux. Artifact Registry fournit des hôtes de registre régionaux et multirégionaux.

Plusieurs dépôts distincts dans un seul emplacement

Dans Container Registry, vous ne pouvez créer qu'un seul hôte de registre dans un emplacement multirégional, et tous les dépôts du registre partagent le même bucket de stockage. Dans Artifact Registry, chaque dépôt est une ressource distincte. Vous pouvez appliquer différents libellés et stratégies Identity and Access Management à chaque dépôt.

Autorisations au niveau du dépôt

Dans Container Registry, vous accordez des autorisations pour chaque hôte de registre multirégional. Vous ne pouvez pas appliquer d'autorisations distinctes au niveau du dépôt. Artifact Registry permet de contrôler les accès au niveau du dépôt.

Rôles IAM Artifact Registry

Dans Container Registry, vous contrôlez l'accès à l'aide des rôles Cloud Storage et devez transférer une image vers un hôte de registre avant de pouvoir configurer des autorisations pour l'hôte. Dans Artifact Registry, les rôles Artifact Registry permettent d'accorder l'accès. Il existe une séparation claire entre les rôles d'administrateur du dépôt et d'utilisateur du dépôt.

Streaming d'images Google Kubernetes Engine

GKE peut diffuser des données à partir d'images éligibles à la demande de vos applications, afin que les charges de travail puissent s'initialiser sans attendre le téléchargement de l'image entière. Le streaming d'images permet un autoscaling plus rapide, un démarrage plus rapide des pods et une latence réduite lors de l'extraction d'images volumineuses.

Déploiement source Cloud Run

Déployez de nouveaux services et de nouvelles révisions sur Cloud Run directement à partir du code source à l'aide d'une seule commande Google Cloud CLI. Le déploiement source crée une image de conteneur à partir de votre code, la stocke dans Artifact Registry et la déploie sur Cloud Run.

Rétrocompatibilité et coexistence

Vous pouvez utiliser Artifact Registry et Container Registry dans le même projet. Lorsque vous affichez une liste de dépôts avec gcloud ou Google Cloud Console, Artifact Registry répertorie également les dépôts Container Registry dans le même projet.

Pour profiter des fonctionnalités étendues d'Artifact Registry, vous pouvez migrer vos conteneurs et votre automatisation vers Artifact Registry.

Options de transition

Vous pouvez passer à Artifact Registry en utilisant l'une de ces options:

Dépôts standards (recommandé)

Les dépôts Artifact Registry standards compatibles avec toutes les fonctionnalités sont entièrement indépendants des hôtes Container Registry existants.

Dépôts compatibles avec le domaine gcr.io

Dépôts spéciaux mappés aux noms d'hôte gcr.io de Container Registry. Ces dépôts acceptent la redirection du trafic provenant de noms d'hôte gcr.io vers les dépôts gcr.io correspondants de votre projet.

Ces dépôts présentent des limites de fonctionnalités. Toutefois, si vous avez beaucoup de configuration d'outil, de scripts ou de code avec des références gcr.io, une approche plus tactique peut être nécessaire pour passer à Artifact Registry.

Les deux types de dépôts peuvent coexister pour que vous puissiez effectuer une transition progressive. Exemple :

• Vous pouvez créer des dépôts gcr.io dans Artifact Registry pour effectuer la transition de votre configuration Container Registry existante et créer des dépôts standards pour de nouveaux travaux.
• Vous pouvez adopter une approche à plusieurs étapes pour votre transition. Passez aux dépôts gcr.io dans Artifact Registry, puis passez progressivement à l'utilisation de dépôts standards lorsque vous mettez à jour votre automatisation pour qu'elle soit entièrement compatible avec les chemins d'accès aux dépôts et aux images Artifact Registry.

Configurer les dépôts

Dans Artifact Registry, vous devez créer des dépôts avant de pouvoir y transférer des images. Un élément clé du passage à Artifact Registry consiste à configurer des dépôts Artifact Registry et à les intégrer à votre automatisation CI/CD.

Pour plus de flexibilité, la représentation des dépôts par Artifact Registry a été modifiée.

Container Registry

Chaque emplacement multirégional est associé à un seul bucket de stockage. L'organisation de vos images dans des dépôts sous un nom d'hôte est facultative. Prenons l'exemple suivant qui montre l'image webapp dans trois emplacements :

us.gcr.io/my-project/webapp
us.gcr.io/my-project/team1/webapp
us.gcr.io/my-project/team2/webapp

Les dépôts ne constituent qu'un mécanisme d'organisation et ne limitent pas l'accès. Tout utilisateur ayant accès au bucket de stockage pour us.gcr.io dans ce projet peut accéder à toutes les versions de l'image de conteneur webapp.

Artifact Registry

Chaque dépôt est une ressource distincte de votre projet. Comme chaque dépôt est une ressource unique, vous pouvez :

• Attribuer un nom, une description et des libellés à chaque dépôt
• Créer plusieurs dépôts au même emplacement
• Configurer des autorisations spécifiques au dépôt

En outre, l'emplacement d'un dépôt peut être une région ou un emplacement multirégional.

Ces modifications vous donnent plus de contrôle sur vos dépôts. Par exemple, si vous avez des équipes à São Paulo et Sydney, vous pouvez créer un dépôt pour chaque équipe dans la région la plus proche géographiquement de l'emplacement multirégional le plus proche.

southamerica-east1-docker.pkg.dev/my-project/team1/webapp
australia-southeast1-docker.pkg.dev/my-project/team2/webapp

Vous pouvez ensuite accorder à chaque équipe des autorisations sur leur dépôt d'équipe uniquement.

Consultez le guide de configuration pour obtenir des instructions sur la transition vers Artifact Registry.

Transférer et extraire des images

Pour vous aider à adapter la configuration, les commandes et la documentation existantes conçues pour Container Registry, les informations suivantes comparent la création, le transfert, l'extraction et le déploiement d'images.

• Modifications apportées à la création et au déploiement dans Google Cloud
• Changements liés au transfert et à l'extraction avec Docker

Comparatif des fonctionnalités

Cette section récapitule les modifications et les améliorations apportées aux fonctionnalités de Container Registry.

Extraction	Container Registry	Artifact Registry
Formats compatibles	Images de conteneurs uniquement	Plusieurs formats d'artefacts, y compris des images de conteneurs, des packages de langages et des packages de système d'exploitation.
Dépôts	Création : crée automatiquement un dépôt dans un emplacement multirégional si vous n'y avez pas déjà transféré une image. Emplacement : dépôts multirégionaux uniquement Organisation : tous les dépôts d'un même hôte multirégional dans un projet Google Cloud partagent un même bucket de stockage. Contrôle des accès : accordez des autorisations au niveau du projet ou sur le bucket de stockage pour chaque hôte multirégional.	Création : vous devez créer un dépôt avant d'y transférer des images. Emplacement : créez des dépôts standards dans un emplacement multirégional ou une région. Par exemple, l'Asie est l'emplacement multirégional le plus proche de l'Australie. Avec la compatibilité régionale, vous pouvez créer un dépôt dans le centre de données de Sydney. Organisation : vous pouvez créer plusieurs dépôts distincts dans chaque région ou emplacement multirégional. Appliquez des libellés pour les regrouper par équipe, étape de développement ou autres catégories. Contrôle des accès : accordez des autorisations sur le projet ou sur des dépôts individuels.
Noms d'hôte	Les hôtes se trouvent sur le domaine gcr.io.	Les hôtes se trouvent sur le domaine pkg.dev. Pour en savoir plus sur le format du nom, consultez la section Noms des dépôts et des artefacts. Vous pouvez utiliser la compatibilité avec le domaine gcr.io pour rediriger automatiquement le trafic de vos hôtes gcr.io> vers les dépôts Artifact Registry correspondants d'un même projet.
Autorisations	Accordez l'accès à l'aide des autorisations Cloud Storage. Vous pouvez limiter l'accès à toutes les images stockées dans un emplacement multirégional, mais pas dans des dépôts individuels. Par exemple, vous pouvez limiter l'accès à us.gcr.io dans le projet my-project, mais vous ne pouvez pas accorder d'autorisations spécifiques pour les images sous us.gcr.io/my-project/team1 et us.gcr.io/my-project/team2.	Accordez l'accès à l'aide des autorisations Artifact Registry. Vous pouvez restreindre l'accès à des dépôts individuels. Par exemple, vous pouvez contrôler séparément l'accès aux images dans us-docker.pkg.dev/my-project/team1 et us-docker.pkg.dev/my-project/team2.
Authentification	Fournit plusieurs méthodes d'authentification pour transférer et extraire des images avec un client tiers.	Artifact Registry est compatible avec les mêmes méthodes d'authentification que Container Registry. Consultez la page Configurer l'authentification pour Docker pour en savoir plus. Si vous utilisez l'assistant d'identification Docker : Version 2.0.0 ou ultérieure requise. Les versions du client Docker antérieures à la version 18.03 ne sont plus compatibles. Vous devez ajouter les emplacements Artifact Registry que vous utiliserez à la configuration de l'assistant d'identification.
Clés de chiffrement gérées par le client (CMEK)	Utilisez CMEK pour chiffrer les buckets de stockage contenant vos images.	Chiffrez des dépôts individuels avec le chiffrement CMEK
Utiliser Google Cloud Console	Affichez et gérez les images Container Registry dans la section Container Registry de Google Cloud Console.	Affichez la liste de vos dépôts Artifact Registry et Container Registry dans la section Artifact Registry de Google Cloud Console. Gérez vos dépôts et images Artifact Registry à partir de cette page. Si vous cliquez sur un dépôt Container Registry, vous êtes redirigé vers la liste des images de la section Container Registry de Google Cloud Console.
Utiliser les commandes d'API et gcloud	Utilise les commandes gcloud container images. Les commandes sont compatibles avec les condensés raccourcis. Si vous ne spécifiez pas la chaîne de condensé complète, Container Registry tente de localiser l'image appropriée en fonction de la chaîne partielle.	Utilise les commandes gcloud artifacts docker. Les commandes ne sont pas compatibles avec les condensés raccourcis. Pour obtenir une comparaison des commandes gcloud de Container Registry et d'Artifact Registry, consultez la comparaison des commandes gcloud. Artifact Registry inclut également une API permettant de gérer les dépôts et les artefacts dans tous les formats.
Notifications Pub/Sub	Publie les modifications apportées au sujet gcr	Publie les modifications apportées au sujet gcr Si vous créez des dépôts dans le même projet que votre service Container Registry existant, votre configuration Pub/Sub existante fonctionne automatiquement. Pour en savoir plus, consultez la section Configurer les notifications Pub/Sub.
Images Docker Hub mises en cache	Met en cache les images Docker Hub les plus demandées sur mirror.gcr.io.	mirror.gcr.io continue de mettre en cache les images fréquemment demandées de Docker Hub.
VPC Service Controls	Vous pouvez ajouter Container Registry à un périmètre de service.	Vous pouvez ajouter Artifact Registry à un périmètre de service.
Stockage et analyse des métadonnées avec Container Analysis	Permet d'analyser les failles des packages du système d'exploitation et de la langue grâce à l'analyse à la demande des images si le système d'exploitation est compatible. L'analyse automatique ne renvoie que les informations sur les failles de l'OS. En savoir plus sur les types d'analyse Analyse à la demande La commande Google Cloud CLI gcloud docker images scan recherche les failles dans les images locales ou dans Container Registry. La commande Google Cloud CLI gcloud docker images list-vulnerabilities renvoie les résultats de l'analyse des failles. Les analyses renvoient des informations sur les failles du système d'exploitation et des packages de langages pour les images de Container Registry avec des systèmes d'exploitation compatibles. Exploration automatique La commande Google Cloud CLI gcloud container images inclut des options d'affichage des résultats d'analyse, y compris des failles et d'autres métadonnées. Les analyses ne renvoient que les informations sur les failles de l'OS pour les images de Container Registry avec des systèmes d'exploitation compatibles.	Analyse les failles des systèmes d'exploitation et des langues à la demande, et les analyses automatiques. En savoir plus sur les types d'analyse Analyse à la demande La commande Google Cloud CLI gcloud docker images scan recherche les failles dans les images locales ou dans Artifact Registry. La commande Google Cloud CLI gcloud docker images list-vulnerabilities renvoie les résultats de l'analyse des failles. Les analyses renvoient des informations sur les failles du système d'exploitation et des packages de langages pour les images d'Artifact Registry avec des systèmes d'exploitation compatibles. Exploration automatique La commande Google Cloud CLI gcloud artifacts docker images inclut des options d'affichage des résultats d'analyse, y compris des failles et d'autres métadonnées. Les analyses renvoient des informations sur les failles de l'OS pour les images d'Artifact Registry avec les systèmes d'exploitation compatibles et des informations sur les failles du package de langage pour les systèmes d'exploitation compatibles et non compatibles.
Images fournies par Google	Les images fournies par Google sont hébergées sur gcr.io. Voici quelques exemples : Images mises en cache sur mirror.gcr.io. Compilateurs Cloud Build Images de base	Les images fournies par Google restent disponibles sur gcr.io.
Streaming d'images	Indisponible	GKE peut diffuser des données à partir d'images éligibles dans Artifact Registry pour accélérer l'autoscaling, accélérer le démarrage des pods et réduire la latence lors de l'extraction d'images volumineuses.
Déploiement source dans Cloud Run	Indisponible	Le déploiement source vous permet d'utiliser une seule commande de gcloud CLI pour créer une image de conteneur à partir de votre code source, stocker l'image dans Artifact Registry et la déployer sur Cloud Run.
Tarif	Les tarifs de Container Registry sont basés sur l'utilisation de Cloud Storage, y compris le stockage et la sortie réseau.	Artifact Registry possède sa propre tarification, basée sur le stockage et la sortie réseau.