Container Registry tidak digunakan lagi dan dijadwalkan untuk dihentikan. Setelah 15 Mei 2024, Artifact Registry akan menghosting image untuk domain gcr.io dalam project yang tidak menggunakan Container Registry sebelumnya. Setelah 18 Maret 2025, Container Registry akan dinonaktifkan.

Untuk mulai mengelola container di Google Cloud, gunakan Artifact Registry. Jika Anda menggunakan Container Registry, pelajari cara beralih ke Artifact Registry untuk mengelola container di Google Cloud.

Untuk informasi selengkapnya tentang penghentian penggunaan dan penonaktifan, lihat halaman penghentian penggunaan dan catatan rilis.

Menggunakan kunci enkripsi yang dikelola pelanggan

Container Registry menyimpan image container di Cloud Storage. Cloud Storage selalu mengenkripsi data Anda di sisi server.

Jika memiliki persyaratan kepatuhan atau peraturan, Anda dapat mengenkripsi image container menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Kunci CMEK dikelola di Cloud Key Management Service. Saat menggunakan CMEK, Anda dapat menonaktifkan akses ke image container terenkripsi untuk sementara atau secara permanen dengan menonaktifkan atau menghancurkan kunci.

Batasan kebijakan organisasi

Batasan kebijakan organisasi dapat memengaruhi penggunaan Container Registry saat diterapkan ke layanan yang digunakan Container Registry.

Batasan untuk bucket penyimpanan

Saat Cloud Storage API tercantum dalam daftar kebijakan Deny untuk batasan constraints/gcp.restrictNonCmekServices, Anda tidak dapat mengirim image ke Container Registry. Container Registry tidak menggunakan CMEK untuk membuat bucket penyimpanan saat image pertama dikirim ke host, dan Anda tidak dapat membuat bucket penyimpanan secara manual.

Jika Anda perlu menerapkan batasan kebijakan organisasi ini, pertimbangkan untuk menghosting image di Artifact Registry. Anda dapat membuat repositori secara manual di Artifact Registry yang mendukung permintaan ke domain gcr.io sehingga Anda dapat terus menggunakan alur kerja image container yang ada. Untuk mengetahui detailnya, lihat Melakukan transisi ke repositori dengan dukungan domain gcr.io.
Jika constraints/gcp.restrictCmekCryptoKeyProjects dikonfigurasi, bucket penyimpanan harus dienkripsi dengan Bigtable dari project, folder, atau organisasi yang diizinkan. Bucket baru akan menggunakan kunci yang dikonfigurasi, tetapi bucket yang sudah ada yang tidak mematuhi kebijakan harus dikonfigurasi untuk menggunakan kunci yang diperlukan secara default.

Untuk mengetahui informasi selengkapnya tentang cara batasan berlaku pada bucket Cloud Storage, lihat dokumentasi Cloud Storage tentang batasan.

Batasan untuk topik Pub/Sub

Saat Anda mengaktifkan Container Registry API di project Google Cloud, Container Registry akan mencoba membuat topik Pub/Sub secara otomatis dengan ID topik gcr menggunakan kunci enkripsi yang dikelola Google.

Jika Pub/Sub API ada dalam daftar kebijakan Deny untuk batasan constraints/gcp.restrictNonCmekServices, topik harus dienkripsi dengan CMEK. Permintaan untuk membuat topik tanpa enkripsi CMEK akan gagal.

Untuk membuat topik gcr dengan enkripsi CMEK, lihat petunjuk untuk mengenkripsi topik Pub/Sub.

Mengonfigurasi bucket untuk menggunakan CMEK

Container Registry tidak terintegrasi langsung dengan Cloud KMS. Sebagai gantinya, sesuai dengan CMEK saat Anda menyimpan image container di bucket penyimpanan yang dikonfigurasi untuk menggunakan CMEK.

Jika Anda belum melakukannya, kirim image ke Container Registry. Bucket penyimpanan belum menggunakan kunci CMEK.
Di Cloud Storage, konfigurasi bucket penyimpanan untuk menggunakan kunci CMEK.

Nama bucket untuk host registry memiliki salah satu format berikut:

artifacts.PROJECT-ID.appspot.com untuk gambar yang disimpan di gcr.io host
STORAGE-REGION.artifacts.PROJECT-ID.appspot.com untuk gambar yang disimpan di asia.gcr.io, eu.gcr.io, atau us.gcr.io.

Apa langkah selanjutnya?

Pelajari lebih lanjut cara mengelola image Container Registry.
Pelajari CMEK lebih lanjut
Pelajari Cloud Storage lebih lanjut