Container Registry 已弃用，并将按计划关停。2024 年 5 月 15 日之后，Artifact Registry 将在之前未使用 Container Registry 的项目中托管 gcr.io 网域的图片。2025 年 3 月 18 日之后，Container Registry 将关停。

如需开始在 Google Cloud 上管理容器，请使用 Artifact Registry。如果您使用 Container Registry，请了解如何改用 Artifact Registry 来管理 Google Cloud 上的容器。

如需详细了解弃用和停用，请参阅弃用页面和版本说明。

使用客户管理的加密密钥

Container Registry 将容器映像存储在 Cloud Storage 中。Cloud Storage 始终会在服务器端对您的数据进行加密。

如果您有合规性或监管要求，则可以使用客户管理的加密密钥 (CMEK) 来加密容器映像。CMEK 密钥在 Cloud Key Management Service 中进行管理。使用 CMEK 时，您可以通过停用或销毁密钥来临时或永久停用对加密容器映像的访问。

组织政策限制条件

组织政策限制条件应用于 Container Registry 使用的服务时，可能会影响 Container Registry 的使用。

针对存储分区的限制

当 Cloud Storage API 位于限制条件 constraints/gcp.restrictNonCmekServices 的 Deny 政策列表中时，您无法将映像推送到 Container Registry。将第一个映像推送到主机时，Container Registry 不会使用 CMEK 创建存储分区，并且您无法手动创建存储分区。

如果您需要强制执行此组织政策限制条件，请考虑改为在 Artifact Registry 中托管映像。您可以在 Artifact Registry 中手动创建支持向 gcr.io 网域发出请求的代码库，以便继续使用现有的容器映像工作流。如需了解详情，请参阅转换为支持 gcr.io 的代码库。
配置 constraints/gcp.restrictCmekCryptoKeyProjects 后，必须使用来自允许的项目、文件夹或组织的 CryptoKey 对存储分区进行加密。新存储分区将使用配置的密钥，但不符合政策规定的现有存储分区必须默认配置为使用所需的密钥。

如需详细了解限制条件如何应用于 Cloud Storage 存储分区，请参阅有关限制条件的 Cloud Storage 文档。

Pub/Sub 主题限制条件

在 Google Cloud 项目中激活 Container Registry API 时，Container Registry 会尝试使用 Google 管理的加密密钥自动创建主题 ID 为 gcr 的 Pub/Sub 主题。

当 Pub/Sub API 位于限制条件 constraints/gcp.restrictNonCmekServices 的 Deny 政策列表中时，必须使用 CMEK 加密主题。创建未使用 CMEK 加密的主题的请求将失败。

如需创建使用 CMEK 加密的 gcr 主题，请参阅 Pub/Sub 主题加密说明。

配置存储分区以使用 CMEK

Container Registry 未直接与 Cloud KMS 集成。相反，如果您将容器映像存储在配置为使用 CMEK 的存储分区中，则该映像符合 CMEK。

请将映像推送到 Container Registry（如果您尚未执行此操作）。存储桶不使用 CMEK 密钥。
在 Cloud Storage 中，配置存储桶以使用 CMEK 密钥。

注册表主机的存储桶名称采用以下格式之一：

对于存储在主机 gcr.io 上的映像，名称采用 artifacts.PROJECT-ID.appspot.com 格式
STORAGE-REGION.artifacts.PROJECT-ID.appspot.com（适用于存储在 asia.gcr.io、eu.gcr.io 或 us.gcr.io 中的图片）。

后续步骤

详细了解如何管理 Container Registry 映像。
详细了解 CMEK
详细了解 Cloud Storage