Configura Container Registry o Artifact Registry para los clústeres privados de GKE

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se describe cómo configurar entradas de DNS para usar Container Registry o Artifact Registry con un clúster privado de Google Kubernetes Engine y los Controles del servicio de VPC.

Estos pasos solo son necesarios si tu clúster privado de GKE usa Artifact Registry o Container Registry para el almacenamiento de contenedores y aún no configuraste el enrutamiento de los dominios de registro pkg.dev o gcr.io a restricted.googleapis.com.

Si bien los clústeres privados en perímetros de servicio pueden usar Container Registry o Artifact Registry sin la VIP restringida, no debes hacerlo. Si no se usa la VIP restringida, los datos se pueden robar de un servicio compatible a uno no compatible.

Antes de comenzar

Antes de crear un perímetro de servicio, configura un clúster privado nuevo o identifica los clústeres privados existentes que deseas proteger.

Además, debes permitir la salida a 199.36.153.4/30 en el puerto 443. Por lo general, una red de VPC tiene una regla implícita que permite todo el tráfico de salida a cualquier destino. Sin embargo, si tienes una regla que rechaza dicho tráfico, debes crear una regla de firewall de salida para permitir el tráfico de TCP en el puerto 443 a 199.36.153.4/30.

Configura DNS

Para admitir clústeres privados de GKE que usan Container Registry o Artifact Registry dentro de un perímetro de servicio, primero debes configurar el servidor DNS para que las solicitudes a las direcciones de registro se resuelvan en restricted.googleapis.com, la VIP restringida. Puedes hacerlo mediante las zonas de DNS privadas de Cloud DNS.

  1. Crea una zona privada administrada.

    gcloud beta dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK \
        --description=DESCRIPTION \
        --dns-name=REGISTRY_DOMAIN \
        --project=PROJECT_ID
    

    Donde:

    • ZONE_NAME es un nombre para la zona que estás creando. Por ejemplo, registry. Este nombre se usará en cada uno de los siguientes pasos.

    • PROJECT_ID es el ID del proyecto que aloja el clúster privado de GKE.

    • NETWORK es una lista opcional de nombres de la red del clúster de la que deseas redireccionar las solicitudes.

    • DESCRIPTION es una descripción legible de la zona administrada.

    • REGISTRY_DOMAIN es el dominio de tu registro:

      • pkg.dev para Artifact Registry
      • gcr.io para Container Registry
  2. Inicia una transacción.

    gcloud dns record-sets transaction start \
      --zone=ZONE_NAME \
      --project=PROJECT_ID
    

    Donde:

    • ZONE_NAME es el nombre de la zona que creaste en el primer paso.

    • PROJECT_ID es el ID del proyecto que aloja el clúster privado de GKE.

  3. Agrega un registro CNAME en tu registro.

    gcloud dns record-sets transaction add \
      --name=*.REGISTRY_DOMAIN. \
      --type=CNAME REGISTRY_DOMAIN. \
      --zone=ZONE_NAME \
      --ttl=300 \
      --project=PROJECT_ID
    

    Donde:

    • ZONE_NAME es el nombre de la zona que creaste en el primer paso.

    • PROJECT_ID es el ID del proyecto que aloja el clúster privado de GKE.

    • REGISTRY_DOMAIN es el dominio de tu registro:

      • pkg.dev para Artifact Registry
      • gcr.io para Container Registry
  4. Agrega un registro A para la VIP restringida.

    gcloud dns record-sets transaction add \
      --name=REGISTRY_DOMAIN. \
      --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
      --zone=ZONE_NAME \
      --ttl=300 \
      --project=PROJECT_ID
    

    En el ejemplo anterior, se ilustra lo siguiente:

    • ZONE_NAME es el nombre de la zona que creaste en el primer paso.

    • PROJECT_ID es el ID del proyecto que aloja el clúster privado de GKE.

    • REGISTRY_DOMAIN es el dominio de tu registro:

      • pkg.dev para Artifact Registry
      • gcr.io para Container Registry
  5. Ejecuta la transacción.

    gcloud dns record-sets transaction execute \
      --zone=ZONE_NAME \
      --project=PROJECT_ID
    

    Donde:

    • ZONE_NAME es el nombre de la zona que creaste en el primer paso.

    • PROJECT_ID es el ID del proyecto que aloja el clúster privado de GKE.

Configura el perímetro de servicio

Después de configurar los registros DNS, crea un perímetro de servicio nuevo o actualiza un perímetro existente y, luego, agrega el servicio de Container Registry o Artifact Registry a la lista de servicios que deseas proteger mediante el perímetro de servicio.

Además, tenga en cuenta lo siguiente:

  • Agrega otros servicios compatibles que uses con el registro al perímetro de servicio, como Cloud Build, Container Analysis y la autorización binaria.
  • Para Container Registry, también debes agregar Cloud Storage al perímetro de servicio.

Verifica si el perímetro funciona

Después de configurar el perímetro de servicio, implementa un contenedor de muestra para verificar la configuración.

Crea una implementación en el clúster privado con el siguiente comando:

Artifact Registry

kubectl create deployment hello-server --image=us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

Container Registry

kubectl create deployment hello-server --image=gcr.io/google-samples/hello-app:1.0

Verifica el estado del Pod con el siguiente comando:

kubectl get pods

El comando muestra una tabla similar al siguiente ejemplo. Si la imagen se extrajo y se implementó de forma correcta, el estado del Pod es RUNNING.

NAME                            READY   STATUS    RESTARTS   AGE
hello-server-dbd86c8c4-h5wsf   1/1     Running   0          45s

Puedes usar el comando kubectl describe pod para ver más detalles sobre la implementación. En el Pod del ejemplo anterior, el comando es el siguiente:

kubectl describe pod hello-server-dbd86c8c4-h5wsf