Enviar (upload) e pull (download) de imagens são duas das tarefas mais comuns do Container Registry. O foco deste documento é enviar e extrair imagens com o Docker.
Se você estiver usando o Cloud Build, consulte a documentação do Cloud Build para informações sobre como criar e enviar contêineres para o Container Registry.
Para instruções sobre como listar, marcar e excluir imagens, consulte Como gerenciar imagens.
Antes de começar
Certifique-se de que você:
Como adicionar um registro
É possível adicionar os seguintes registros do Container Registry a um projeto:
Nome do host | Local de armazenamento |
---|---|
gcr.io |
Armazena imagens em data centers nos Estados Unidos |
asia.gcr.io |
Armazena imagens em data centers na Ásia |
eu.gcr.io |
Armazena imagens em data centers dentro dos estados-membros da União Europeia |
us.gcr.io |
Armazena imagens em data centers nos Estados Unidos |
O primeiro envio de imagem para um nome do host aciona a criação do registro em um projeto e o bucket de armazenamento correspondente do Cloud Storage. Esse push inicial requer permissões em todo o projeto para criar buckets de armazenamento.
Com um host de registro no projeto, é possível configurar permissões no bucket de armazenamento para controlar o acesso a imagens no registro.
Para adicionar um registro e configurar permissões:
Verifique se você tem as permissões necessárias. Você precisa ter o papel Administrador do Storage (roles/storage.admin), um papel personalizado ou um papel predefinido com as mesmas permissões.
Para instruções sobre como conceder o papel Administrador do Storage no nível do projeto, consulte a documentação do IAM.
Envie uma imagem inicial para o host. Por exemplo, os seguintes comandos:
- Extraia a imagem
busybox
do Docker Hub - Marque a imagem com o caminho de destino no Container Registry, incluindo
o host de registro
gcr.io
e o ID do projetomy-project
- Enviar a imagem para o registro
docker pull busybox docker tag busybox gcr.io/my-project/busybox docker push gcr.io/my-project/busybox
- Extraia a imagem
O Container Registry adiciona o registro ao projeto, cria um bucket de armazenamento para o registro e armazena a imagem.
Agora é possível configurar o controle de acesso no bucket de armazenamento do registro para conceder acesso ao registro a outros usuários.
Como enviar uma imagem para um registro
Para enviar qualquer imagem local para o Container Registry usando o Docker ou outra ferramenta de terceiros, você precisa primeiro marcá-la com o nome do registro e depois enviá-la.
Os fatores a seguir podem afetar os uploads de imagens grandes:
- Tempo de upload
- Qualquer solicitação enviada ao Container Registry tem um tempo limite de duas horas. Se você autenticar no Container Registry usando um token de acesso, o token vai expirar depois de 60 minutos. Se você quiser que o tempo de upload exceda 60 minutos, use outro método de autenticação.
- Tamanho da imagem
- O Container Registry usa o Cloud Storage para o armazenamento subjacente de cada registro. As cotas e limites do Cloud Storage se aplicam a todos os registros, incluindo o tamanho máximo de 5 TB para um objeto no armazenamento.
- O Container Registry não é compatível com uploads em partes do Docker. Algumas ferramentas são compatíveis com o upload de imagens grandes com uploads em partes ou um único upload monolítico. Use uploads monolíticos para enviar imagens ao Container Registry.
Permissões necessárias
Para enviar uma imagem, é preciso ter um dos seguintes papéis do Cloud Storage ou um com as mesmas permissões:
- Como enviar a primeira imagem para um registro no projeto
Papel: administrador do Storage (roles/storage.admin) no nível do projeto do Google Cloud. O papel predefinido Proprietário inclui essas permissões.
Na primeira vez que você enviar uma imagem para um host de registro no projeto (como
gcr.io
), o Container Registry criará um bucket de armazenamento para o registro. O papel Administrador do Storage tem as permissões necessárias para criar o bucket de armazenamento.- Como enviar imagens para um registro no projeto
Papel: gravador do bucket legado do Storage (roles/storage.legacyBucketWriter) no bucket de armazenamento do registro.
Esse papel tem permissões para enviar e extrair imagens para hosts de registro atuais no projeto. Por exemplo, se o projeto contiver apenas o registro
gcr.io
, um usuário com o papel Gravador de bucket legado do Storage poderá enviar imagens paragcr.io
, mas não imagens paraasia.gcr.io
.
Para informações sobre como conceder permissões a um registro, consulte Como configurar o controle de acesso.
Marcar a imagem local com o nome do registro
Para marcar uma imagem:
- Verifique se você configurou a autenticação no Container Registry.
Determine o nome da imagem no Container Registry:
Escolha um nome de host, que especifica o local onde você armazenará a imagem.
gcr.io
hospeda imagens em data centers nos Estados Unidos, mas o local pode mudar no futurous.gcr.io
hospeda imagens em data centers nos Estados Unidos, em um bucket de armazenamento separado das imagens hospedadas porgcr.io
eu.gcr.io
hospeda as imagens na União Europeiaasia.gcr.io
hospeda imagens em data centers na Ásia
Esses locais correspondem às multirregiões para os buckets de armazenamento do Cloud Storage. Quando você envia uma imagem para um registro com um novo nome do host, o Container Registry cria um bucket de armazenamento no local multirregional especificado. Esse bucket é o armazenamento subjacente para o registro. Em um projeto, todos os registros com o mesmo nome de host compartilham um bucket de armazenamento.
No console, o nome do host das imagens será listado em Local.
Escolha um nome de imagem de destino, que pode ser diferente do nome da imagem na máquina local. Por exemplo, a imagem local pode ter o nome
web-image
, mas você quer armazená-la no Container Registry comoweb-site
Combine o nome do host, o ID do projeto do console do Google Cloud e o nome da imagem de destino:
HOSTNAME/PROJECT-ID/TARGET-IMAGE
Veja o exemplo a seguir.
- Nome do host:
gcr.io
- Projeto do Google Cloud:
my-project
- Nome da imagem de destino:
web-site
Combinar o nome do host, o projeto e o nome da imagem de destino oferece o caminho completo da imagem a ser usado para incluir tags:
gcr.io/my-project/web-site
Caso o ID do projeto contenha dois pontos (
:
), consulte Projetos com escopo de domínio.- Nome do host:
Marque a imagem local com o nome da etapa anterior. Se você quiser rotular essa versão da imagem com uma tag, inclua o nome dela.
docker tag SOURCE_IMAGE HOSTNAME/PROJECT-ID/TARGET-IMAGE:TAG
Substitua:
- SOURCE_IMAGE é o nome da imagem local ou o ID da imagem;
- HOSTNAME é o host de registro escolhido na etapa 2.
- PROJECT é o ID do projeto do Google Cloud;
- TARGET-IMAGE é o nome da imagem quando ela está armazenada no Container Registry.
- TAG é a tag que você quer associar à versão da imagem.
Por exemplo, este comando marca a imagem local
web-image
comogcr.io/my-project/web-site
no Container Registry com a tagv1.5
docker tag web-image gcr.io/my-project/web-site:v1.5
Se você não especificar uma tag, o Docker adicionará a tag
latest
padrão. Comolatest
é uma tag padrão, ela representa a versão da imagem marcada com a taglatest
mais recentemente, e não necessariamente a versão mais recente de uma imagem.
O Docker marca a imagem com o nome e a tag especificados no comando.
Enviar a imagem marcada para o Container Registry
Verifique se você configurou a autenticação no Container Registry.
Envie a imagem com tag para o Container Registry:
Execute o seguinte comando para enviar uma imagem com uma tag específica:
docker push HOSTNAME/PROJECT-ID/IMAGE:TAG
Se você omitir
:TAG
, o Docker enviará a versão da imagem marcada comlatest
.Por exemplo, o comando a seguir envia a imagem
gcr.io/my-project/web-site
com a tagv1.5
:docker push gcr.io/my-project/web-site:v1.5
Quando você envia uma imagem para um host de registro que ainda não existe no projeto, o Container Registry cria um bucket de armazenamento para o host de registro.
Para ver a imagem que você enviou:
Acesse o console do Google Cloud para ver o registro e a imagem.
Execute
gcloud container images list-tags
para visualizar a tag de imagem e o resumo gerado automaticamente:gcloud container images list-tags HOSTNAME/PROJECT-ID/IMAGE
A resposta do comando é semelhante à seguinte:
DIGEST TAGS TIMESTAMP 44bde... test 2017-..-..
Como extrair imagens de um registro
Para extrair uma imagem, é necessário ter o Leitor de objetos do Storage para o bucket de armazenamento do registro ou um papel com as mesmas permissões.
Para extrair do Container Registry, use o comando:
docker pull HOSTNAME/PROJECT-ID/IMAGE:TAG
ou
docker pull HOSTNAME/PROJECT-ID/IMAGE@IMAGE_DIGEST
onde:
- HOSTNAME está listado em Local no console É uma das
quatro opções:
gcr.io
,us.gcr.io
,eu.gcr.io
ouasia.gcr.io
. - PROJECT-ID é o ID do projeto
do console do Google Cloud.
Caso o ID do projeto contenha dois pontos (
:
), consulte Projetos com escopo de domínio. - IMAGE é o nome da imagem no Container Registry;
- TAG é a tag aplicada à imagem. Em um registro, as tags são exclusivas de uma imagem;
- IMAGE_DIGEST é o valor de hash sha256 do conteúdo da imagem. No Console do Google Cloud, clique na imagem específica para ver os metadados dela. O resumo é listado como Resumo da imagem.
Para receber o comando pull de uma imagem específica:
Clique no nome de uma imagem para acessar o registro específico.
No registro, marque a caixa ao lado da versão da imagem que você quer extrair.
Clique em EXIBIR COMANDO PULL na parte superior da página.
Copie o comando pull, que identifica a imagem usando a tag ou o resumo.
A seguir
- Saiba mais sobre como gerenciar imagens, incluindo a adição ou remoção de tags e a exclusão de imagens.
- Saiba mais sobre como configurar o controle de acesso.
- Leia mais sobre os componentes e recursos do Container Registry.
- Saiba mais sobre como executar contêineres no Compute Engine.