Artifact Registry ist der empfohlene Dienst zur Verwaltung von Container-Images. Container Registry wird weiterhin unterstützt, es werden jedoch nur wichtige Sicherheitsupdates bereitgestellt. Umstellung auf Artifact Registry

Übersicht zu Container Registry

Google Cloud bietet zwei Dienste zum Speichern und Verwalten von Container-Images:

Artifact Registry (empfohlen)
Ein Dienst zum Speichern und Verwalten von Artefakten in privaten Repositories, einschließlich Container-Images, Helm-Diagrammen und Sprachpaketen.

Artifact Registry erweitert die Möglichkeiten von Container Registry. Zusätzlich zur Unterstützung mehrerer Artefaktformate bietet der Dienst weitere Vorteile:

  • Regionale und multiregionale Unterstützung
  • Möglichkeit, mehrere separate Repositories in derselben Region oder Multiregion mit Zugriffssteuerung auf Repository-Ebene zu erstellen
  • Dienstspezifische Rollen für die Identitäts- und Zugriffsverwaltung mit klarer Trennung von Repository-Verwaltung und Repository-Nutzerberechtigungen
Container Registry

Eine private Container-Image-Registry, die die Image-Formate Docker Image Manifest V2 und OCI unterstützt. Es bietet einen Teil der Artifact Registry-Features.

Obwohl Container Registry noch als Google Enterprise API verfügbar ist und unterstützt wird, sind neue Funktionen nur in Artifact Registry verfügbar. Container Registry erhält nur kritische Sicherheitsupdates.

Einen Vergleich zwischen Container Registry und Artifact Registry und Informationen zur Umstellung von Container Registry auf Artifact Registry finden Sie unter Umstellung von Container Registry.

Mit Images arbeiten

Docker Hub ist eine beliebte zentrale Registry zur Speicherung öffentlicher Docker-Images. Wenn Sie Kontrolle über den Zugriff auf Ihre Images benötigen, müssen Sie eine private Registry wie Artifact Registry oder Container Registry verwenden.

Sie können über sichere HTTPS-Endpunkte auf die Registry zugreifen und Images aus einem beliebigen System, einer VM-Instanz oder Ihrer eigenen Hardware herunterladen, hochladen und verwalten.

Registries

Mit Container Registry können Sie in jedem Google Cloud-Projekt bis zu vier multiregionale Hosts erstellen. Wenn Sie separatere Repositories mit separaten Zugriffsrichtlinien erstellen oder Images in Regionen statt in mehreren Regionen speichern möchten, verwenden Sie stattdessen Artifact Registry.

Die Registrys in Container Registry sind nach Host und Projekt-ID benannt. Zur Bearbeitung (wie Upload, Download, Löschen) geben Sie das Image im folgenden Format an:

HOSTNAME/PROJECT-ID/IMAGE:TAG

oder

HOSTNAME/PROJECT-ID/IMAGE@IMAGE-DIGEST

Dabei gilt:

  • HOSTNAME ist der Standort, an dem das Image gespeichert wird:

    • gcr.io hostet die Images derzeit in den USA, wobei sich der Standort in Zukunft ändern kann.
    • us.gcr.io hostet die Images ebenfalls in den USA, jedoch in einem von gcr.io getrennten Storage-Bucket.
    • eu.gcr.io hostet die Images innerhalb der Mitgliedsstaaten der Europäischen Union.
    • asia.gcr.io hostet die Images in Asien.

    Diese Standorte entsprechen den Multiregionen für Storage-Buckets von Cloud Storage. Wenn Sie ein Image in eine Registry mit einem neuen Hostnamen hochladen, erstellt Container Registry einen Storage-Bucket in der angegebenen Multiregion. Dieser Bucket wird als Speicher für die Registry verwendet. Innerhalb eines Projekts teilen sich alle Registrys mit demselben Hostnamen einen Storage-Bucket.

  • PROJECT-ID ist Ihre Projekt-ID der Google Cloud Console. Wenn die Projekt-ID einen Doppelpunkt (:) enthält, finden Sie weitere Informationen unter Auf Domains beschränkte Projekte.

  • IMAGE ist der Image-Name. Dieser kann vom lokalen Image-Namen abweichen. In der Google Cloud Console werden die Registrys des Projekts nach dem Image-Namen aufgelistet. Jedes Repository kann mehrere Images mit demselben Namen enthalten. Beispiel: mehrere Versionen des Images "my-image".

  • Durch Hinzufügen von :TAG oder @IMAGE-DIGEST am Ende des Namens können Sie eine bestimmte Version des Images angeben, was jedoch optional ist. Wenn Sie weder ein Tag noch einen Digest angeben, sucht Container Registry nach dem Image mit dem Standard-Tag latest. Siehe Image-Versionen innerhalb einer Registry weiter unten.

Für das Image my-image in der Registry gcr.io/PROJECT-ID verwenden Sie dieses Format, um ein Image per Push zu übertragen oder abzurufen:

gcr.io/PROJECT-ID/my-image:tag1

Dabei ist PROJECT-ID Ihre Projekt-ID der Google Cloud Console.

Images mit Repositories organisieren

Sie können verwandte Images innerhalb einer Registry unter einem Repository gruppieren. Wenn Sie ein Image taggen, per Push übertragen oder abrufen, geben Sie den Repository-Namen unter dem Projekt im Image-Pfad an.

In Container Registry dienen Repositories als Organisationshilfe. Sie funktionieren wie logische Ordner im Bildpfad, spiegeln aber nicht die tatsächliche Dateisystemstruktur wider oder unterstützen keine detailliertere Zugriffssteuerung.

Sehen Sie sich die folgenden Images an, die im Host us.gcr.io im Projekt builds gespeichert sind:

us.gcr.io/builds/product1/dev/product1-app:beta-2.0
us.gcr.io/builds/product1/stable/product1:1.0
us.gcr.io/builds/product2/dev/product2:alpha
us.gcr.io/builds/product2/stable/product2:1.0

Wenn ein Nutzer Schreibzugriff auf den Host us.gcr.io im Projekt builds hat, hat er Schreibzugriff auf jeden Pfad unter us.gcr.io/builds, da sich alle Images im selben Storage-Bucket befinden und Sie kann den Zugriff auf Repository- oder Image-Ebene nicht einschränken.

Wenn Sie eine detailliertere Zugriffssteuerung benötigen, können Sie stattdessen Artifact Registry verwenden. In Artifact Registry sind Repositories separate Ressourcen, sodass Sie separate IAM-Richtlinien auf Repositories wie us-docker.pkg.dev/builds/product1 und us-docker.pkg.dev/builds/product2 anwenden können.

Image-Versionen innerhalb einer Registry

Eine Registry kann viele Images enthalten und diese können unterschiedliche Versionen haben. Zum Identifizieren einer bestimmten Version des Images in einer Registry können Sie das Image-Tag oder den Digest angeben.

  • Tags dienen als Label. Sie können einem Bild mehrere Tags zuweisen. Ein Image kann beispielsweise das Tag v1.5 für eine Versionsnummer und release-candidate haben, um die Bereitschaft für endgültige Tests anzuzeigen.
  • Digests werden automatisch generiert, kommen pro Version eines Images immer nur einmal vor und haben die Form @IMAGE-DIGEST, wobei IMAGE-DIGEST der sha256-Hash-Wert des Image-Inhalts ist.

So ermitteln Sie eine bestimmte Version des Images my-image:

  • Fügen Sie das Bild-Tag hinzu:

    gcr.io/PROJECT-ID/my-image:tag1
    
  • oder das Image-Digest:

    gcr.io/PROJECT-ID/my-image@sha256:4d11e24ba8a615cc85a535daa17b47d3c0219f7eeb2b8208896704ad7f88ae2d
    

Dabei ist PROJECT-ID Ihre Projekt-ID der Google Cloud Console. Wenn die Projekt-ID einen Doppelpunkt (:) enthält, finden Sie weitere Informationen unter Auf Domains beschränkte Projekte.

In der Cloud Console werden auf dem Bildschirm Images (Bilder) in der Spalte Tags die Tags des Images aufgelistet. Klicken Sie auf eine Image-Version, um die Metadaten anzusehen, einschließlich des Image-Digests.

Weitere Informationen zur Bearbeitung von Tags finden Sie unter Images taggen.

Auf Domains beschränkte Projekte

Wenn Ihr Projekt auf Ihre Domain beschränkt ist, enthält die Projekt-ID den Namen der Domain, gefolgt von einem Doppelpunkt (:). Aufgrund der Art und Weise, wie Docker Doppelpunkte behandelt, müssen Sie den Doppelpunkt durch einen Schrägstrich ersetzen, wenn Sie einen Image-Digest in Container Registry angeben. Identifizieren Sie Images in diesen Projekttypen im folgenden Format:

HOSTNAME/[DOMAIN]/[PROJECT]/IMAGE

Das Projekt mit der ID example.com:my-project könnte beispielsweise folgendes Image haben:

gcr.io/example.com/my-project/image-name

Registry-Namen als URLs

Die URL https://HOSTNAME/PROJECT-ID/IMAGE ist eine URL für ein Image in der Cloud Console. Jeder authentifizierte Nutzer, der berechtigt ist, auf den Registry-Host zuzugreifen, kann Links verwenden, um sich die gespeicherten Images anzusehen. Weitere Informationen zum Image-Pfadformat finden Sie unter Registrys.

Die folgenden URLs verweisen beispielsweise auf öffentliche Registries in der Cloud Console:

Container-Image-Formate

Container Registry unterstützt die Image-Formate Docker Image Manifest V2 und OCI. Weitere Informationen finden Sie im Artikel über Container-Image-Formate.

Wenn Sie Images und andere Artefakte zentral speichern möchten, sollten Sie Artifact Registry anstelle von Container Registry verwenden.

Zugriffssteuerung

Container Registry speichert Tags und Ebenendateien für Container-Images in einem Cloud Storage-Bucket im selben Projekt wie die Registry. Der Zugriff auf den Bucket wird mithilfe der IAM-Einstellungen (Identity and Access Management) von Cloud Storage konfiguriert.

Ein Nutzer, der Zugriff auf einen Registry-Host hat, kann auf jedes Image im Storage-Bucket des Hosts zugreifen. Wenn Sie eine detailliertere Zugriffssteuerung benötigen, können Sie Artifact Registry verwenden. Artifact Registry bietet eine Zugriffssteuerung auf Repository-Ebene.

Projektinhaber und Bearbeiter sind standardmäßig zum Hoch- und Herunterladen von Images für den Cloud Registry-Bucket dieses Projekts berechtigt. Projektbetrachter haben nur die Berechtigung zum Herunterladen.

Weitere Informationen zu Container Registry-Berechtigungen finden Sie unter Zugriffssteuerung konfigurieren.

Unter Hinweise zu veralteten Versionen für Container Registry finden Sie Informationen zur geplanten Verschiebung von Image-Metadaten aus Cloud Storage in eine leistungsstarke Back-End-Datenbank.

Authentication

Bevor Sie Images hoch- oder herunterladen können, müssen Sie die Authentifizierung konfigurieren. Sie können Docker so konfigurieren, dass das gcloud-Befehlszeilentool zur Authentifizierung von Anfragen an Container Registry verwendet wird. Container Registry unterstützt auch erweiterte Authentifizierungsmethoden mit Zugriffstoken oder JSON-Schlüsseldateien.

Docker Credential Helper

Docker muss zum Hoch- und Herunterladen von Images Zugriff auf Container Registry haben. Mithilfe des Befehlszeilentools Docker Credential Helper können Sie Ihre Container Registry-Anmeldedaten für die Verwendung mit Docker konfigurieren.

Credential Helper ruft Ihre Container Registry-Anmeldedaten ab – entweder automatisch oder von einem mit dem Flag --token-source angegebenen Speicherort – und schreibt sie in die Konfigurationsdatei von Docker. Auf diese Weise können Sie das Docker-Befehlszeilentool docker verwenden, um direkt mit Container Registry zu interagieren.

Weitere Informationen finden Sie unter Erweiterte Authentifizierung.

Container Registry-Dienstkonto

Wenn Sie die Container Registry API aktivieren, fügt Container Registry Ihrem Projekt ein Dienstkonto hinzu. Dieses Dienstkonto hat folgenden Namen:

service-[PROJECT_NUMBER]@containerregistry.iam.gserviceaccount.com

Das Container Registry-Dienstkonto dient ausschließlich dem Zweck, dass Container Registry Ihr Projekt bearbeiten kann. Google ist zwar der Inhaber dieses Kontos, das Konto ist aber projektspezifisch und wird in den Abschnitten "Dienstkonten" und "IAM" der Cloud Console aufgeführt.

Wenn Sie dieses Dienstkonto löschen oder die damit verbundenen Berechtigungen ändern, werden einige Funktionen von Container Registry nicht mehr richtig funktionieren. Löschen Sie das Konto nicht und ändern Sie keine Rollen.

Cache zum Abrufen

Die Registry mirror.gcr.io speichert häufig abgerufene öffentliche Images aus den offiziellen Docker Hub-Repositories im Cache.

Die Verwendung von im Cache gespeicherten Images kann das Abrufen aus Docker Hub beschleunigen. Ihr Client prüft immer, ob eine im Cache gespeicherte Kopie eines Docker Hub-Images vorhanden ist, bevor er versucht, es direkt aus Docker Hub abzurufen.

Weitere Informationen finden Sie unter Im Cache gespeicherte Docker Hub-Images abrufen.

Mitteilungen

Sie können Pub/Sub verwenden, um Benachrichtigungen über Änderungen an Ihren Container-Images zu erhalten.

Weitere Informationen finden Sie unter Pub/Sub-Benachrichtigungen konfigurieren.

Container Registry mit Google Cloud verwenden

Compute Engine-Instanzen und Google Kubernetes Engine-Cluster können Container Registry-Images basierend auf Cloud Storage-Bereichen auf den Instanzen übertragen und abrufen. Weitere Informationen finden Sie unter Container Registry mit Google Cloud verwenden.

In der Container Registry gespeicherte Images können über die flexible App Engine-Umgebung bereitgestellt werden.

Einbindung von Continuous Delivery-Tools

Container Registry funktioniert mit gängigen Systemen für Continuous Integration und Continuous Delivery, einschließlich Cloud Build und Tools von Drittanbietern wie Jenkins.

Container Registry lässt sich nahtlos in Google Cloud-Dienste einbinden. Beispielsweise kann Cloud Build Images standardmäßig an Container Registry-Hosts im selben Projekt übertragen und daraus abrufen. Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run können auch Images aus Registry-Hosts im selben Projekt standardmäßig abrufen.

Alternativ können Sie Images mit Drittanbietertools wie Jenkins erstellen, abrufen und per Push übertragen. Wenn Sie ein Drittanbietertool verwenden, müssen Sie Berechtigungen und die Authentifizierung für das Konto konfigurieren, das im Namen der an.

Beispiele für Integrationen finden Sie in den technischen Leitfäden zu Google Cloud, die Container Registry enthalten.