このページの一部またはすべての情報は、S3NS の Cloud de Confiance に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

コンテナのコンセプト

このドキュメントでは、レジストリ、リポジトリ、アーティファクトなど、コンテナに関連した重要なコンセプトについて説明します。これらのコンセプトが Artifact Registry にどのように適用されるかに関する基本情報も含まれています。

レジストリ

レジストリでは、リポジトリ内で名前ごとにまとめられたコンテナイメージとアーティファクトを保存し、配布しています。レジストリには、単一のリポジトリでも複数のリポジトリでも含めることができます。また公開することも非公開にすることもできます。

Docker Hub や Artifact Registry などのレジストリサービスには、公開リポジトリまたは非公開リポジトリを作成するオプションが用意されています。公開イメージを pull する場合は、セキュリティに関するあらゆる懸念を理解することが重要です。脆弱性のモニタリングと依存関係のフットプリントの削減の詳細については、依存関係の管理をご覧ください。

レジストリは、個々のコンテナイメージを格納するリポジトリにまとめられます。Artifact Registry を使用すると、単一のプロジェクト内に複数のリポジトリを作成し、各リポジトリに特定のリージョンを関連付けることができます。関連するリポジトリはラベルでグループ化できます。

Artifact Registry リポジトリとイメージ管理

Artifact Registry Docker 形式のリポジトリでは、同じリポジトリに名前の異なる複数のコンテナイメージを保存できます。イメージの各バージョンはイメージ ダイジェストで識別され、タグに関連付けることができます。タグは可変または不変にできます。コンテナイメージのバージョンとタグの詳細については、コンテナイメージのバージョンをご覧ください。

Artifact Registry では通常、プロジェクト、リージョンのロケーション、イメージの名前を識別するために、イメージのパスの一部を参照し、タグまたはマニフェストダイジェストを使用して正しいバージョンを識別します。

例:

docker push u-france-east1-docker.s3nsregistry.fr/PROJECT/quickstart-docker-repo/quickstart-image:tag1

u-france-east1 は、リポジトリの場所です。
docker.s3nsregistry.fr は Docker 形式のリポジトリのホスト名です。
PROJECT は、 Cloud de Confiance by S3NS プロジェクト ID によって作成された Namespace です。
quickstart-docker-repo は、イメージを保存するプロジェクトの Namespace です。Artifact Registry では、パスのこの部分をリポジトリと呼んでいます。
quickstart-image は、quickstart-image のすべてのバージョンの名前であり、多くの場合はイメージと呼ばれています。
tag1 は、イメージのバージョンを指定するタグです。

画像

アーティファクトとイメージはどちらも Artifact Registry 内に保存できます。アーティファクトは、テキストファイル、Docker イメージ、Helm チャートなど、さまざまなものがありますが、イメージは通常、コンテナイメージを指します。コンテナイメージは、あらゆる環境で実行するために必要なすべての要素を含むソフトウェアのパッケージです。詳細については、コンテナとはをご覧ください。

イメージがリポジトリに push またはアップロードされ、リポジトリから pull またはダウンロードされます。正しいイメージとバージョンを指定するには、一意のレジストリとアーティファクトを指定する必要があります。

Artifact Registry のリポジトリ名とイメージ名の詳細については、リポジトリとイメージ名をご覧ください。

レイヤ

リポジトリに保存されるコンテナイメージは、レイヤを使用して段階的に作成されます。一部の同じレイヤは異なるイメージで使用できます。レイヤはイメージのタイプに応じてさまざまな方法で定義されます。たとえば、Dockerfile の各命令は Docker イメージ内のレイヤに対応します。レジストリ内では、共通レイヤを持つイメージがこれらのレイヤを共有するため、ストレージ効率が向上します。セキュリティ上、異なるレジストリ間でレイヤが共有されることはありません。

コンテナイメージを削除しても、レイヤがすぐに削除されるわけではありません。レジストリ内のイメージで参照されていないレイヤは毎日削除されます。

ユーザーは、イメージをリポジトリに push または pull するときにイメージのバージョンを指定するためにタグを追加します。イメージには 1 つまたは複数のタグを含めるか、タグをまったく含めません。可変タグを使用しているときに、同じタグでイメージを 2 回 push すると、タグは最初のイメージから削除されて 2 番目のイメージに移り、最初のイメージはタグなしで残されます。タグ付けされていないイメージには、マニフェストダイジェストを使用してアクセスできます。

不変タグを使用している場合、次の操作は許可されません。

タグ付きイメージを削除する。タグ付けされていないイメージの削除はこれまで通り可能です。
タグをイメージから削除する。
リポジトリ内の別のバージョンのイメージですでに使用されているタグを使用してイメージを push する。

latest タグは、タグなしでイメージが push されたときに追加される特殊なタグです。

例:

docker push u-france-east1-docker.s3nsregistry.fr/my-project/my-repo/hello-app

このコマンドで hello-app:latest にイメージが push されます。

docker pull u-france-east1-docker.s3nsregistry.fr/my-project/my-repo/hello-app

このコマンドでイメージ hello-app:latest が pull されます。

latest 以外のタグが付いたリポジトリにイメージが push されるときに、latest タグが追加されないため、latest イメージが最新の変更より古い場合があります。リリースには latest 以外のタグを使用することをおすすめします。

マニフェスト

イメージマニフェストは、各イメージ内のレイヤを一意に識別および指定します。マニフェストは、マニフェストダイジェストと呼ばれる一意の SHA-256 ハッシュで識別されます。マニフェストダイジェストはタグよりも信頼性と安全性が高くなります。これは、可変タグを含むリポジトリでは、同じイメージの複数のバージョンが同じタグに push され、一部のイメージはタグなしで残されますが、各イメージがマニフェストダイジェストで一意に指定されるためです。

ツールを使用してイメージをスキャンまたは分析する場合、これらのツールの結果はスキャンされたイメージに対してのみ有効です。タグで参照されるイメージは変更される可能性があるため、確実にスキャンされたイメージをデプロイするには、タグを使用することはできません。

Artifact Registry 固有のタグ付けとマニフェストの詳細については、イメージの管理とコンテナイメージの使用をご覧ください。

イメージのプリウォーミング

イメージストリーミングを使用するレイテンシの影響を受けやすいアプリケーションの場合、新しいノードまたはインスタンスでイメージが初めて pull されるのを待つと（コールドスタートと呼ばれる）、不要な遅延が発生する可能性があります。プリウォーミング を使用すると、イメージがリクエストされる前に、イメージストリーミング キャッシュへのイメージのダウンロードを明示的に開始できます。このプロセスにより、GKE クラスタがイメージをリクエストしたときに、イメージを迅速に配信できるようになります。

イメージをプリウォーミングするには、Artifact Registry API を使用します。手順については、イメージのプリウォーミングでレイテンシを短縮するをご覧ください。

次のステップ

Docker クイックスタート
コンテナイメージの使用
Helm クイックスタート
Helm チャートの操作
DevOps に関するリソースを読む。また、DORA 研究プログラムについて確認する。