Um Ihre Build- und Bereitstellungsworkflows zu vereinfachen, sind einige Google Cloud-Dienstkonten und Laufzeitumgebungen mit Zugriffsberechtigungen auf Container vorkonfiguriert, die im selben Projekt gespeichert sind.
Auf dieser Seite sind die gängigen Integrationen in Google Cloud-Produkte und die zugehörigen Anforderungen für den Zugriff auf Container zusammengefasst.
Allgemeine Zugriffsanforderungen
Standardmäßig werden Dienstkonten für einige gängige Integrationen mit Cloud Storage-Berechtigungen für den Zugriff auf Container Registry innerhalb desselben Projekts konfiguriert.
Für das von Compute Engine-VMs verwendete Dienstkonto, einschließlich VMs in Google Kubernetes Engine-Clustern, basiert der Zugriff sowohl auf IAM-Berechtigungen als auch auf Zugriffsbereichen.
In folgenden Fällen müssen Sie Berechtigungen selbst konfigurieren oder ändern:
- Sie verwenden ein Dienstkonto in einem Projekt, um in einem anderen Projekt auf Container Registry zuzugreifen.
- Sie verwenden ein Standarddienstkonto mit Lesezugriff auf den Speicher, möchten jedoch Images sowohl per Pull als auch per Push übertragen.
- Sie verwenden ein benutzerdefiniertes Dienstkonto für die Interaktion mit Container Registry.
Weitere Informationen finden Sie in den produktspezifischen Abschnitten.
Cloud Build
Das Cloud Build-Dienstkonto ist standardmäßig berechtigt, Images per Pull und Push zu übertragen, wenn sich Container Registry im selben Projekt befindet.
Sie müssen die entsprechenden Berechtigungen in den folgenden Fällen selbst konfigurieren:
- Cloud Build befindet sich in einem anderen Projekt als die Repositories, auf die die Builds zugreifen sollen.
- Ihre Builds verwenden ein anderes Dienstkonto als das Cloud Build-Standarddienstkonto. In diesem Fall müssen Sie dem Dienstkonto Berechtigungen zum Zugriff auf Container Registry gewähren.
Compute Engine
Sie können VM-Instanzen mit Images erstellen, die in Container Registry gespeichert sind.
Erforderliche Berechtigungen
Wenn sich die VM-Instanz und Container Registry im selben Google Cloud-Projekt befinden, wird das Compute Engine-Standarddienstkonto mit Berechtigungen zum Abrufen von Images konfiguriert.
Wenn sich die VM-Instanz in einem anderen Projekt befindet oder wenn die VM-Instanz ein anderes Dienstkonto verwendet, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen für den Zugriff auf den von der Container Registry verwendeten Storage Bucket gewähren.
Bei einer Compute Engine-VM ist standardmäßig der read-only
-Zugriffsbereich für Storage-Buckets konfiguriert. Zum Hochladen privater Docker-Images muss die VM-Instanz den read-write
-Speicherzugriffsbereich haben.
Weitere Informationen zu Berechtigungen und Zugriffsbereichen finden Sie unter In Google Cloud-Dienste einbinden.
Images bereitstellen
Wenn Sie eine VM erstellen, können Sie ein Image bereitstellen. Weitere Informationen finden Sie in der Compute Engine-Dokumentation zum Bereitstellen von Containern und zum Erstellen von VM-Instanzvorlagen.
Container-optimierte Compute Engine-Instanzen
Informationen darüber, wie Sie eine Container-optimierte Compute Engine-Instanz mithilfe eines Images aus Ihrer Registry starten, finden Sie unter Docker-Container mit cloud-config starten.
Weitere Informationen finden Sie unter Instanzen erstellen und konfigurieren.
Google Kubernetes Engine
Google Kubernetes Engine verwendet das auf den VM-Instanzen von Clusterknoten konfigurierte Dienstkonto, um Images zu übertragen und abzurufen.
Erforderliche Berechtigungen
Wenn sich der Google Kubernetes Engine-Cluster und der Container Registry-Storage-Bucket im selben Google Cloud-Projekt befinden, wird das Compute Engine-Standarddienstkonto mit den entsprechenden Berechtigungen zum Hoch- und Herunterladen von Images konfiguriert.
Wenn sich der Cluster in einem anderen Projekt befindet oder wenn die VMs im Cluster ein anderes Dienstkonto verwenden, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen für den Zugriff auf den von der Container Registry verwendeten Storage-Bucket erteilen.
Bei einer Compute Engine-VM ist standardmäßig der read-only
-Zugriffsbereich für Storage-Buckets konfiguriert. Zum Hochladen privater Docker-Images muss die VM-Instanz den read-write
-Speicherzugriffsbereich haben.
Weitere Informationen zu Berechtigungen und Zugriffsbereichen finden Sie unter In Google Cloud-Dienste einbinden.
Image ausführen
Mit dem folgenden Befehl führen Sie ein Container Registry-Image in einem Google Kubernetes Engine-Cluster aus:
kubectl run [NAME] --image=[HOSTNAME]/[PROJECT-ID]/[IMAGE]:[TAG]
Dabei gilt:
[NAME]
ist der Name der Ressource.[HOSTNAME]
wird in der Konsole unterLocation
aufgeführt. Dies kanngcr.io
,us.gcr.io
,eu.gcr.io
oderasia.gcr.io
sein.[PROJECT-ID]
ist Ihre Projekt-ID in der Google Cloud Console. Wenn die Projekt-ID einen Doppelpunkt (:
) enthält, finden Sie weitere Informationen unter Auf Domains beschränkte Projekte.[IMAGE]
ist der Image-Name in Container Registry.[TAG]
ist das Tag, das die Version des Images in Container Registry identifiziert. Wenn Sie kein Tag angeben, sucht Container Registry nach dem Standard-Taglatest
.
Weitere Informationen zu Kubernetes-Befehlen finden Sie in der Übersicht zu kubectl.
Cloud Run
Sie können in Container Registry gespeicherte Images für Cloud Run bereitstellen.
Erforderliche Berechtigungen
Für die Bereitstellung in Cloud Run benötigen Sie die Inhaber- oder Bearbeiterrolle, entweder die Cloud Run-Administrator- und Dienstkonto-Nutzerrollen oder eine benutzerdefinierte Rolle, die diese bestimmte Liste von Berechtigungen enthält.
Images bereitstellen
Informationen zum Bereitstellen eines Images in Cloud Run finden Sie in der Dokumentation zu Cloud Run.
Flexible App Engine-Umgebung
Mithilfe der flexiblen App Engine-Umgebung können Sie eine vorhandene Laufzeit (z. B. Java 8) anpassen oder Ihre eigene Laufzeit angeben. Dazu stellen Sie ein benutzerdefiniertes Docker-Image oder Dockerfile bereit.
Mit Cloud Build können Sie das Erstellen von Containern automatisieren, diese in Container Registry übertragen und für App Engine bereitstellen.
Erforderliche Berechtigungen
Das App Engine-Standarddienstkonto verfügt standardmäßig über Berechtigungen zum Abrufen von und Übertragen in Repositories im selben Projekt.
Wenn sich App Engine in einem anderen Projekt befindet, müssen Sie dem App Engine-Dienstkonto Berechtigungen für den Zugriff auf Ihr Container Registry-Repository erteilen.
In App Engine bereitstellen
Sie können ein von Container Registry gehostetes Image in App Engine bereitstellen mit der Google Cloud CLI.
- Erstellen Sie die App Engine-Konfigurationsdatei für Ihre Anwendung.
- Erstellen Sie ein Docker-Image und übertragen Sie es per Push in Ihr Repository. Sie können Cloud Build verwenden, um Ihren Container zu erstellen und per Push in Ihr Repository zu übertragen.
Stellen Sie das Image in App Engine bereit, indem Sie den folgenden Befehl ausführen:
gcloud app deploy --image-url=[HOSTNAME]/[PROJECT-ID]/[IMAGE]:[TAG]
Dabei gilt:
[HOSTNAME]
wird in der Konsole unterLocation
aufgeführt. Dies kanngcr.io
,us.gcr.io
,eu.gcr.io
oderasia.gcr.io
sein.[PROJECT-ID]
ist Ihre Projekt-ID in der Google Cloud Console. Wenn die Projekt-ID einen Doppelpunkt (:
) enthält, finden Sie weitere Informationen unter Auf Domains beschränkte Projekte.[IMAGE]
ist der Image-Name in Container Registry.[TAG]
ist das Tag, das die Version des Images in Container Registry identifiziert. Wenn Sie kein Tag angeben, sucht Container Registry nach dem Standard-Taglatest
.