Panoramica di Container Registry

Container Registry è il servizio precedente per l'archiviazione di immagini container private su Google Cloud.

Il servizio è ritirato. Puoi spostare le immagini esistenti in Artifact Registry e continuare ad accedervi utilizzando il dominio gcr.io. A partire dal 15 maggio 2024, i progetti senza precedente utilizzo di Container Registry ospiterà solo immagini per il dominio gcr.io in Artifact Registry.

Per un confronto tra Container Registry e Artifact Registry e informazioni sulla transizione da Container Registry ad Artifact Registry, consulta Transizione da Container Registry.

Lavorare con le immagini

Molte persone utilizzano Docker Hub come registro centrale per l'archiviazione delle immagini Docker pubbliche, ma per controllare l'accesso alle immagini devi utilizzare un registro privato come Artifact Registry o Container Registry.

È possibile accedere al registro tramite endpoint HTTPS sicuri, che consentono esegui il push, il pull e la gestione delle immagini da qualsiasi sistema, istanza VM o hardware tuo.

Registri

Con Container Registry puoi creare fino a quattro host multiregionali in ogni progetto Google Cloud. Se vuoi creare contenuti più discreti, con criteri di accesso separati o archiviazione di immagini in regioni anziché in più regioni, usa Artifact Registry.

I registry in Container Registry vengono denominati in base all'host e all'ID progetto. Per lavorare con le immagini (ad esempio push, pull, elimina), identifica l'immagine utilizzando il seguente formato:

HOSTNAME/PROJECT-ID/IMAGE:TAG

o

HOSTNAME/PROJECT-ID/IMAGE@IMAGE-DIGEST

dove:

  • HOSTNAME è la posizione in cui è archiviata l'immagine:

    • Attualmente gcr.io ospita le immagini negli Stati Uniti, ma la località potrebbe cambiare in futuro
    • us.gcr.io ospita l'immagine negli Stati Uniti, in un bucket di archiviazione distinto da quello delle immagini ospitate da gcr.io
    • eu.gcr.io ospita le immagini all'interno degli stati membri dell'Unione europea
    • asia.gcr.io ospita le immagini in Asia

    Queste località corrispondono più regioni per di archiviazione di Cloud Storage. Quando esegui il push di un'immagine in un registry con un nuovo nome host, Container Registry crea un bucket di archiviazione nella regione multipla specificata. Questo bucket è lo spazio di archiviazione sottostante per il registro. All'interno di un progetto, tutti i registry con lo stesso nome host condividono un bucket di archiviazione.

  • PROJECT-ID è la tua console Google Cloud ID progetto. Se l'ID progetto contiene due punti (:), consulta Progetti basati sul dominio di seguito.

  • IMAGE è il nome dell'immagine. Può essere diverso dal nome locale dell'immagine. Nella console Google Cloud, i registri sono elencati in base al nome dell'immagine. Ogni repository può contenere più immagini con lo stesso nome. Ad esempio, potrebbe contenere versioni diverse di un'immagine chiamata "la mia immagine".

  • aggiunta di :TAG o @IMAGE-DIGEST alla fine puoi distinguere una specifica versione dell'immagine, anch'esso è facoltativo. Se non specifichi un tag o il digest, Container Registry cerca l'immagine con il tag predefinito latest. Consulta: Versioni di immagini all'interno di un registro di seguito.

Per l'immagine my-image nel registro gcr.io/PROJECT-ID, utilizzi questo formato per eseguire il push o il pull di un'immagine:

gcr.io/PROJECT-ID/my-image:tag1

dove PROJECT-ID è la tua console Google Cloud ID progetto.

Organizzazione delle immagini con i repository

Puoi raggruppare le immagini correlate in un repository all'interno di un registro. Quando tag, esegui il push o il pull di un'immagine, specifica il nome del repository nel progetto nel percorso dell'immagine.

In Container Registry, i repository sono un aiuto per l'organizzazione. Si comportano come cartelle logiche nel percorso dell'immagine, ma non riflettono la struttura del sistema file effettiva o supportano un controllo dell'accesso più granulare.

Considera le seguenti immagini archiviate nell'host us.gcr.io nel progetto builds:

us.gcr.io/builds/product1/dev/product1-app:beta-2.0
us.gcr.io/builds/product1/stable/product1:1.0
us.gcr.io/builds/product2/dev/product2:alpha
us.gcr.io/builds/product2/stable/product2:1.0

Se un utente ha accesso in scrittura all'host us.gcr.io in builds progetto, può accedere in scrittura a qualsiasi percorso in us.gcr.io/builds tutte le immagini si trovano nello stesso bucket di archiviazione e non puoi limitare l'accesso a livello di repository o immagine.

Se hai bisogno di un controllo dell'accesso più granulare, puoi utilizzare Artifact Registry. In Artifact Registry, i repository sono risorse discrete, quindi puoi applicare criteri IAM separati nei repository come us-docker.pkg.dev/builds/product1 e us-docker.pkg.dev/builds/product2.

Versioni delle immagini all'interno di un registry

Un registro può contenere molte immagini, che possono avere e versioni successive. Per identificare una versione specifica dell'immagine all'interno di un registro, puoi specificare il tag o il digest immagine.

  • I tag fungono da etichetta. Puoi applicare più tag a un'immagine. Ad esempio: un'immagine potrebbe avere il tag v1.5 per un numero di versione e release-candidate per indicare l'idoneità per i test finali.
  • I digest vengono generati automaticamente, sono univoci per una versione di un'immagine e hanno il formato @IMAGE-DIGEST, dove IMAGE-DIGEST è il valore hash SHA256 dei contenuti dell'immagine.

Per identificare una versione specifica dell'immagine my-image:

  • aggiungi il tag immagine:

    gcr.io/PROJECT-ID/my-image:tag1
    
  • oppure aggiungi il digest dell'immagine:

    gcr.io/PROJECT-ID/my-image@sha256:4d11e24ba8a615cc85a535daa17b47d3c0219f7eeb2b8208896704ad7f88ae2d
    

dove PROJECT-ID è l'ID progetto della console Google Cloud. Se l'ID progetto contiene due punti (:), consulta Progetti basati su dominio di seguito.

Nella schermata Immagini della console Google Cloud, la colonna Tag elenca i tag dell'immagine. Fai clic sulla versione dell'immagine per visualizzare i metadati, tra cui il digest dell'immagine.

Per scoprire come modificare i tag, consulta Codifica delle immagini.

Progetti con ambito dominio

Se il progetto è limitato al tuo dominio, l'ID progetto include il nome del dominio seguito da due punti (:). A causa del modo in cui Docker tratta i due punti, devi sostituire il carattere dei due punti con una barra verticale quando specifichi un digest dell'immagine in Container Registry. Identifica le immagini in questi tipi di progetti utilizzando il seguente formato:

HOSTNAME/[DOMAIN]/[PROJECT]/IMAGE

Ad esempio, il progetto con ID example.com:my-project potrebbe avere la seguente immagine:

gcr.io/example.com/my-project/image-name

Nomi dei registri come URL

URL https://HOSTNAME/PROJECT-ID/IMAGE è l'URL di un'immagine nella console Google Cloud. Qualsiasi autenticazione utente che dispone dell'autorizzazione per accedere all'host del registry può utilizzare i link per visualizzare le immagini che archivia. Per informazioni dettagliate sul formato del percorso dell'immagine, consulta Registri.

Ad esempio, i seguenti URL rimandano a registry pubblici nella console Google Cloud:

Formati di immagini container

Container Registry supporta i formati delle immagini OCI e Docker Image Manifest V2. Per saperne di più, consulta Formati immagine container.

Se vuoi archiviare centralmente le immagini e altri tipi di artefatti, considera utilizzando Artifact Registry anziché Container Registry.

Controllo degli accessi

Container Registry archivia i propri tag e file di livello per il container in un bucket Cloud Storage nello stesso progetto del registry. Accedi a configurato utilizzando la classe di Cloud Storage gestione di identità e accessi (IAM) impostazioni.

Un utente che ha accesso a un host del registry può accedere a qualsiasi immagine nel bucket di archiviazione dell'host. Se hai bisogno di un controllo dell'accesso più granulare, valuta la possibilità di utilizzare Artifact Registry. Artifact Registry fornisce dati a livello di repository e il controllo dell'accesso.

Per impostazione predefinita, i proprietari e gli editor del progetto dispongono delle autorizzazioni push e pull per il bucket Container Registry del progetto. I visualizzatori del progetto hanno l'autorizzazione di pull .

Per ulteriori informazioni sulle autorizzazioni di Container Registry, consulta Configurazione del controllo dell'accesso.

Consulta Container Registry notifiche relative al ritiro per informazioni sui piani per lo spostamento dei metadati delle immagini da Cloud Storage a un database backend ad alte prestazioni.

Autenticazione

Prima di poter eseguire il push o il pull delle immagini, devi configurare l'autenticazione. Tu puoi configurare Docker in modo che utilizzi Google Cloud CLI per l'autenticazione richieste a Container Registry. Container Registry supporta anche metodi di autenticazione avanzati usando token di accesso o file di chiavi JSON.

Assistente credenziali Docker

Docker deve accedere a Container Registry per eseguire il push e il pull delle immagini. Puoi lo strumento a riga di comando di supporto delle credenziali Docker per configurare Credenziali di Container Registry da utilizzare con Docker.

L'helper delle credenziali recupera le credenziali di Container Registry automaticamente o da una posizione specificata utilizzando il relativo flag --token-source, quindi le scrive nel file di configurazione di Docker. In questo modo, puoi utilizzare lo strumento a riga di comando Docker, docker, per interagire direttamente con Container Registry.

Per ulteriori informazioni, fai riferimento all'argomento Autenticazione avanzata.

Account di servizio Container Registry

Quando attivi l'API Container Registry, Container Registry aggiunge un account di servizio al tuo progetto. Questo account di servizio ha il seguente ID:

service-[PROJECT_NUMBER]@containerregistry.iam.gserviceaccount.com

Questo account di servizio di Container Registry è progettato specificamente per consentire a Container Registry di eseguire le attività del servizio sul tuo progetto. Google gestisce questo account, ma è specifico per il tuo progetto.

Se elimini questo account di servizio o ne modifichi le autorizzazioni, determinate funzionalità di Container Registry non funzioneranno correttamente. Non dovresti modificare i ruoli o eliminare l'account.

Per ulteriori informazioni su questo account di servizio e sulle relative autorizzazioni, consulta Account di servizio Container Registry.

Cache pull-through

Il registro mirror.gcr.io memorizza nella cache le immagini pubbliche richieste di frequente da Docker Hub.

L'utilizzo delle immagini memorizzate nella cache può velocizzare i pull da Docker Hub. Il tuo cliente ha sempre verifica la presenza di una copia memorizzata nella cache di un'immagine Docker Hub prima di tentare di eseguire il pull direttamente da Docker Hub.

Per ulteriori informazioni, consulta la sezione Eseguire il pull delle immagini Docker Hub memorizzate nella cache.

Notifiche

Puoi utilizzare Pub/Sub per ricevere notifiche relative alle modifiche apportate alle immagini container.

Per ulteriori informazioni, consulta la pagina relativa alla configurazione delle notifiche Pub/Sub.

Utilizzo di Container Registry con Google Cloud

Le istanze Compute Engine e i cluster Google Kubernetes Engine possono eseguire push e pull delle immagini di Container Registry in base agli ambiti di Cloud Storage sulle istanze. Consulta Utilizzo di Container Registry con Google Cloud.

Le immagini archiviate in Container Registry possono essere implementate nell'ambiente flessibile di App Engine.

Integrazioni degli strumenti di distribuzione continua

Container Registry è compatibile con i più diffusi sistemi di integrazione e distribuzione continua, tra cui Cloud Build e strumenti di terze parti come Jenkins.

Container Registry si integra perfettamente con i servizi Google Cloud. Ad esempio, Cloud Build può eseguire il push delle immagini da host Container Registry nello stesso progetto per impostazione predefinita. Tempo di esecuzione in ambienti come Google Kubernetes Engine e Cloud Run possono eseguire il pull delle immagini dagli host del registry nello stesso progetto.

In alternativa, puoi utilizzare strumenti di terze parti come Jenkins per creare, estrarre e spingere le immagini. Quando utilizzi uno strumento di terze parti, devi configurare le autorizzazioni e l'autenticazione per l'account che interagirà con Container Registry per conto dello strumento.

Per esplorare esempi di integrazioni, consulta le guide tecniche di Google Cloud che includono Container Registry.