Panoramica di Container Registry

Container Registry è il servizio precedente per l'archiviazione di immagini container private su Google Cloud.

Il servizio è ritirato. Puoi spostare le immagini esistenti in Artifact Registry e continuare ad accedervi utilizzando il dominio gcr.io. A partire dal 15 maggio 2024, i progetti che non hanno mai utilizzato Container Registry ospiteranno solo le immagini per il dominio gcr.io in Artifact Registry.

Per un confronto tra Container Registry e Artifact Registry e informazioni sulla transizione da Container Registry ad Artifact Registry, consulta Transizione da Container Registry.

Lavorare con le immagini

Molte persone utilizzano Docker Hub come registro centrale per archiviare le immagini Docker pubbliche, ma per controllare l'accesso alle immagini devi utilizzare un registro privato come Artifact Registry o Container Registry.

Puoi accedere al registry tramite endpoint HTTPS sicuri, che ti consentono di spingere, estrarre e gestire le immagini da qualsiasi sistema, istanza VM o dal tuo hardware.

• Integra il registro con i servizi CI/CD di Google Cloud o con il tuo strumenti CI/CD esistenti.
  • Archivia le immagini container di Cloud Build.
  • Esegui il deployment di immagini di container nei runtime di Google Cloud, tra cui Google Kubernetes Engine, Cloud Run, Compute Engine e l'ambiente flessibile di App Engine.
  • Identity and Access Management fornisce credenziali e controllo dell'accesso coerenti.
• Proteggi la catena di fornitura del software dei container.
  • Gestisci i metadati dei container e cerca le vulnerabilità dei container con Artifact Analysis.
  • Applica i criteri di deployment con Autorizzazione binaria.
• Proteggi il registro in un Controlli di servizio VPC perimetro di sicurezza.

Registri

Con Container Registry puoi creare fino a quattro host multiregionali in ogni progetto Google Cloud. Se vuoi creare contenuti più discreti, con criteri di accesso separati o archiviazione di immagini in regioni anziché in più regioni, usa Artifact Registry.

I registri in Container Registry vengono denominati in base all'host e all'ID progetto. Per lavorare con le immagini (ad esempio push, pull, elimina), identifica l'immagine utilizzando il seguente formato:

HOSTNAME/PROJECT-ID/IMAGE:TAG

o

HOSTNAME/PROJECT-ID/IMAGE@IMAGE-DIGEST

dove:

• HOSTNAME è la posizione in cui è archiviata l'immagine:

  • Attualmente gcr.io ospita le immagini negli Stati Uniti, ma la località potrebbe cambiare in futuro
  • us.gcr.io ospita l'immagine negli Stati Uniti, in un bucket di archiviazione separato dalle immagini ospitate da gcr.io
  • eu.gcr.io ospita le immagini all'interno stati membri dell'Unione Europea
  • asia.gcr.io ospita le immagini in Asia

  Queste località corrispondono più regioni per di archiviazione di Cloud Storage. Quando esegui il push di un'immagine in un registro con nuovo nome host, Container Registry crea un bucket di archiviazione dalla regione multiregionale specificata. Questo bucket è lo spazio di archiviazione sottostante per il registro. All'interno di un progetto, tutti i registri con lo stesso nome host condividono in un bucket Cloud Storage.

• PROJECT-ID è la tua console Google Cloud ID progetto. Se l'ID progetto contiene due punti (:), consulta Progetti basati su dominio di seguito.

• IMAGE è il nome dell'immagine. Può essere diverso dal nome locale dell'immagine. Nella console Google Cloud, i registri del progetto sono elencati in base al nome dell'immagine. Ogni repository può contenere più immagini con lo stesso nome. Ad esempio, potrebbe contenere versioni diverse di un'immagine chiamata "la mia immagine".

• L'aggiunta di :TAG o @IMAGE-DIGEST alla fine consente di distinguere una versione specifica dell'immagine, ma è facoltativa. Se non specifichi un tag o il digest, Container Registry cerca l'immagine con il tag predefinito latest. Consulta Versioni delle immagini all'interno di un registry di seguito.

Per l'immagine my-image nel registro gcr.io/PROJECT-ID, utilizzi questo formato per eseguire il push o il pull di un'immagine:

gcr.io/PROJECT-ID/my-image:tag1

dove PROJECT-ID è la tua console Google Cloud ID progetto.

Organizzazione delle immagini con i repository

Puoi raggruppare le immagini correlate in un repository all'interno di un registro. Quando contrassegnate, esegui il push o il pull di un'immagine, specifica il nome del repository nel progetto nel percorso dell'immagine.

In Container Registry, i repository sono un aiuto per l'organizzazione. Si comportano come cartelle logiche nel percorso dell'immagine, ma non riflettono il file system effettivo strutturale o supportano un controllo dell'accesso più granulare.

Considera le seguenti immagini archiviate nell'host us.gcr.io nel progetto builds:

us.gcr.io/builds/product1/dev/product1-app:beta-2.0
us.gcr.io/builds/product1/stable/product1:1.0
us.gcr.io/builds/product2/dev/product2:alpha
us.gcr.io/builds/product2/stable/product2:1.0

Se un utente ha accesso in scrittura all'host us.gcr.io nel progetto builds, ha accesso in scrittura a qualsiasi percorso in us.gcr.io/builds perché tutte le immagini si trovano nello stesso bucket di archiviazione e non puoi limitare l'accesso a livello di repository o immagine.

Se hai bisogno di un controllo dell'accesso più granulare, puoi utilizzare Artifact Registry. In Artifact Registry, i repository sono risorse discrete, quindi puoi applicare criteri IAM separati nei repository come us-docker.pkg.dev/builds/product1 e us-docker.pkg.dev/builds/product2.

Versioni di immagini all'interno di un registro

Un registro può contenere molte immagini, che possono avere e versioni successive. Per identificare una versione specifica dell'immagine all'interno di un registro, puoi specificare il tag o il digest immagine.

• I tag fungono da etichetta. È possibile applicare più tag a un'immagine. Ad esempio, un'immagine potrebbe avere il tag v1.5 per un numero di versione e release-candidate per indicare l'idoneità al test finale.
• I digest vengono generati automaticamente, sono univoci per una versione di un'immagine e hanno il formato @IMAGE-DIGEST, dove IMAGE-DIGEST è il valore hash SHA-256 dei contenuti dell'immagine.

Per identificare una versione specifica dell'immagine my-image:

• Aggiungi il tag immagine:

  gcr.io/PROJECT-ID/my-image:tag1
  

• oppure aggiungi il digest dell'immagine:

  gcr.io/PROJECT-ID/my-image@sha256:4d11e24ba8a615cc85a535daa17b47d3c0219f7eeb2b8208896704ad7f88ae2d
  

dove PROJECT-ID è l'ID progetto della console Google Cloud. Se l'ID progetto contiene i due punti (:), consulta Progetti con ambito dominio di seguito.

Nella console Google Cloud, nella schermata Immagini, la colonna Tag elenca i tag dell'immagine. Fai clic sulla versione dell'immagine per visualizzare i metadati, tra cui Image digest.

Per informazioni su come modificare i tag, consulta Codifica delle immagini.

Progetti basati sul dominio

Se l'ambito del progetto è il tuo dominio, l'ID progetto include il nome il dominio seguito dai due punti (:). Per il modo in cui Docker tratta i due punti, devi sostituire i due punti con una barra quando specifichi di un digest di immagini in Container Registry. Identifica le immagini in questo tipo che utilizzano il seguente formato:

HOSTNAME/[DOMAIN]/[PROJECT]/IMAGE

Ad esempio, il progetto con ID example.com:my-project potrebbe avere immagine seguente:

gcr.io/example.com/my-project/image-name

Nomi dei registry come URL

L'URL https://HOSTNAME/PROJECT-ID/IMAGE è un URL di un'immagine nella console Google Cloud. Qualsiasi autenticazione utente che dispone dell'autorizzazione per accedere all'host del registry può utilizzare i link per visualizzare le immagini che archivia. Per informazioni dettagliate sul percorso delle immagini, consulta Registry formato.

Ad esempio, i seguenti URL rimandano a registri pubblici in Console Google Cloud:

• https://gcr.io/google-appengine/python
• https://gcr.io/google-containers/pause

Formati di immagini container

Container Registry supporta i formati di immagini Docker Image Manifest V2 e OCI. Per ulteriori informazioni, consulta Formati delle immagini dei container.

Se vuoi archiviare centralmente le immagini e altri tipi di artefatti, considera utilizzando Artifact Registry anziché Container Registry.

Controllo degli accessi

Container Registry archivia i tag e i file di livello per le immagini dei container in un bucket Cloud Storage nello stesso progetto del registry. Accedi a configurato utilizzando la classe di Cloud Storage gestione di identità e accessi (IAM) impostazioni.

Un utente che ha accesso a un host del registry può accedere a qualsiasi immagine nel bucket di archiviazione dell'host. Se hai bisogno di un controllo dell'accesso più granulare, valuta la possibilità di Artifact Registry. Artifact Registry fornisce dati a livello di repository e il controllo dell'accesso.

Per impostazione predefinita, i proprietari e gli editor del progetto dispongono delle autorizzazioni push e pull per questo progetto. del progetto Container Registry. I visualizzatori del progetto dispongono solo dell'autorizzazione di estrazione.

Per ulteriori informazioni sulle autorizzazioni di Container Registry, consulta Configurazione del controllo dell'accesso.

Consulta Container Registry notifiche relative al ritiro per informazioni sui piani per lo spostamento dei metadati delle immagini da Cloud Storage a un database backend ad alte prestazioni.

Autenticazione

Prima di poter eseguire il push o il pull delle immagini, devi configurare l'autenticazione. Puoi configurare Docker in modo che utilizzi Google Cloud CLI per autenticare le richieste a Container Registry. Container Registry supporta anche metodi di autenticazione avanzati usando token di accesso o file di chiavi JSON.

Assistente per le credenziali Docker

Docker deve accedere a Container Registry per eseguire il push e il pull delle immagini. Puoi utilizzare lo strumento a riga di comando Docker credential helper per configurare le tue credenziali Container Registry per l'utilizzo con Docker.

L'assistente per le credenziali recupera le credenziali di Container Registry, automaticamente o da una posizione specificata usando il flag --token-source, e le scrive nel file di configurazione di Docker. In questo modo, puoi utilizzare strumento a riga di comando Docker, docker, per interagire direttamente con e Container Registry.

Per ulteriori informazioni, fai riferimento all'argomento Autenticazione avanzata.

Account di servizio Container Registry

Quando abiliti l'API Container Registry, Container Registry aggiunge un'interfaccia al tuo progetto. Questo account di servizio ha il seguente ID:

service-[PROJECT_NUMBER]@containerregistry.iam.gserviceaccount.com

Questo account di servizio di Container Registry è progettato specificamente per consentire a Container Registry di eseguire le attività del servizio sul tuo progetto. Google gestisce questo account, ma è specifico per il tuo progetto.

Se elimini questo account di servizio o ne modifichi le autorizzazioni, Le funzionalità di Container Registry non funzioneranno correttamente. Non dovresti modificare i ruoli o eliminare l'account.

Per ulteriori informazioni su questo account di servizio e sulle relative autorizzazioni, consulta Account di servizio Container Registry.

Cache pull-through

Il registry mirror.gcr.io memorizza nella cache le immagini pubbliche richieste di frequente da Docker Hub.

L'uso delle immagini memorizzate nella cache può accelerare i pull da Docker Hub. Il client controlla sempre la presenza di una copia memorizzata nella cache di un'immagine Docker Hub prima di tentare di scaricarla direttamente da Docker Hub.

Per ulteriori informazioni, consulta Eseguire il pull delle immagini Docker Hub memorizzate nella cache.

Notifiche

Puoi utilizzare Pub/Sub per ricevere notifiche sulle modifiche alle immagini container.

Per ulteriori informazioni, consulta Configurazione delle notifiche Pub/Sub.

Utilizzo di Container Registry con Google Cloud

Le istanze Compute Engine e i cluster Google Kubernetes Engine possono eseguire push e pull delle immagini di Container Registry in base agli ambiti di Cloud Storage sulle istanze. Consulta Utilizzo di Container Registry con Google Cloud.

Le immagini archiviate in Container Registry possono essere distribuito nell'ambiente flessibile di App Engine.

Integrazioni degli strumenti di distribuzione continua

Container Registry funziona con le comuni integrazioni e di distribuzione dei contenuti, tra cui Cloud Build e strumenti di terze parti come Jenkins.

Container Registry si integra perfettamente con i servizi Google Cloud. Ad esempio, Cloud Build può eseguire il push delle immagini da host Container Registry nello stesso progetto per impostazione predefinita. Tempo di esecuzione in ambienti come Google Kubernetes Engine e Cloud Run possono eseguire il pull delle immagini dagli host del registry nello stesso progetto.

In alternativa, puoi usare strumenti di terze parti come Jenkins per creare, eseguire il pull ed eseguire il push delle immagini. Quando utilizzi uno strumento di terze parti, devi configurare le autorizzazioni e l'autenticazione per l'account che interagirà con Container Registry per conto dello strumento.

Per esplorare esempi di integrazioni, visualizza Google Cloud guide tecniche che includono e Container Registry.