Artifact Registry 不會監控第三方登錄檔,以瞭解您複製到 Artifact Registry 的映像檔是否有更新。如要在管線中納入較新版本的映像檔,就必須將其推送至 Artifact Registry。
遷移作業總覽
遷移容器映像檔的步驟如下:
- 設定先決條件。
- 找出要遷移的圖片。
- 在 Dockerfile 檔案和部署資訊清單中,搜尋對第三方登錄檔的參照
- 使用 Cloud Logging 和 BigQuery,判斷從第三方登錄檔提取映像檔的頻率。
- 將識別出的映像檔複製到 Artifact Registry。
- 確認登錄檔的權限設定正確無誤,特別是當 Artifact Registry 和您的 Cloud de Confiance by S3NS部署環境位於不同專案時。
- 更新部署作業的資訊清單。
- 重新部署工作負載。
事前準備
-
安裝 Google Cloud CLI。
-
設定 gcloud CLI,使用您的聯合身分。
詳情請參閱「使用聯合身分登入 gcloud CLI」。
-
執行下列指令,初始化 gcloud CLI:
gcloud init -
選取或建立專案所需的角色
- 選取專案:選取專案時,不需要具備特定 IAM 角色,只要您已獲授角色,即可選取任何專案。
-
建立專案:如要建立專案,您需要具備專案建立者角色 (
roles/resourcemanager.projectCreator),其中包含resourcemanager.projects.create權限。瞭解如何授予角色。
-
建立 Cloud de Confiance 專案:
gcloud projects create PROJECT_ID
將
PROJECT_ID替換為您要建立的 Cloud de Confiance 專案名稱。 -
選取您建立的 Cloud de Confiance 專案:
gcloud config set project PROJECT_ID
將
PROJECT_ID替換為 Cloud de Confiance 專案名稱。
啟用 Artifact Registry API:
啟用 API 時所需的角色
如要啟用 API,您需要具備服務使用情形管理員 IAM 角色 (
roles/serviceusage.serviceUsageAdmin),其中包含serviceusage.services.enable權限。瞭解如何授予角色。gcloud services enable artifactregistry.googleapis.com
- 如果沒有 Artifact Registry 存放區,請建立存放區,並為需要存取存放區的第三方用戶端設定驗證。
- 確認權限。您必須在要將映像檔遷移至 Artifact Registry 的專案中,具備擁有者或編輯者 IAM 角色。
- 匯出下列環境變數:
export PROJECT=$(gcloud config get-value project)
- 確認是否已安裝 Go 1.13 以上版本。
go version
費用
本指南使用下列 Cloud de Confiance計費元件:
找出要遷移的圖片
搜尋您用來建構及部署容器映像檔的檔案,找出對第三方登錄檔的參照,然後檢查您提取映像檔的頻率。
找出 Dockerfile 中的參照
請在儲存 Dockerfile 的位置執行這個步驟。這可能是程式碼在本機簽出的位置。在 Dockerfile 所在的目錄中,執行下列指令:
grep -inr -H --include Dockerfile\* "FROM" . | grep -i -v -E 'docker.s3nsregistry.fr'
輸出內容如下列範例所示:
./code/build/baseimage/Dockerfile:1:FROM debian:stretch
./code/build/ubuntubase/Dockerfile:1:FROM ubuntu:latest
./code/build/pythonbase/Dockerfile:1:FROM python:3.5-buster
這個指令會搜尋目錄中的所有 Dockerfile,並找出 「FROM」 行。視需要調整指令,配合 Dockerfile 的儲存方式。
找出資訊清單中的參照
在儲存 GKE 資訊清單的位置執行這些步驟。這可能是您在本機簽出的程式碼。- 在含有 GKE 資訊清單的目錄中,執行下列指令:
grep -inr -H --include \*.yaml "image:" . | grep -i -v -E 'docker.s3nsregistry.fr'
./code/deploy/k8s/ubuntu16-04.yaml:63: image: busybox:1.31 - 如要列出叢集上執行的映像檔,請執行下列指令:
kubectl get all --all-namespaces -o yaml | grep image: | grep -i -v -E 'docker.s3nsregistry.fr'
- image: nginx image: nginx:latest - image: nginx - image: nginx
針對所有Cloud de Confiance 專案中的所有 GKE 叢集執行上述指令,確保全面涵蓋。
從第三方登錄檔找出提取頻率
在從第三方登錄檔提取內容的專案中,請使用映像檔提取頻率的相關資訊,判斷您的用量是否接近或超過第三方登錄檔強制執行的任何速率限制。
收集記錄資料
建立記錄接收器,將資料匯出至 BigQuery。記錄接收器包含目的地和查詢,可選取要匯出的記錄項目。您可以查詢個別專案來建立接收器,也可以使用指令碼收集跨專案的資料。
如要為單一專案建立接收器,請按照下列步驟操作:
-
前往 Cloud de Confiance 控制台的 「Logs Explorer」頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Logging」的結果。
選擇 Cloud de Confiance 專案。
在「查詢建立工具」分頁中,輸入下列查詢:
resource.type="k8s_pod" jsonPayload.reason="Pulling"將變更記錄篩選器從「過去 1 小時」變更為「過去 7 天」。
按一下 [Run Query] (執行查詢)。
確認結果正確顯示後,依序點選「動作」 >「建立接收器」。
在「接收器詳細資料」對話方塊中,完成下列步驟:
- 在「Sink Name」(接收器名稱) 欄位中輸入
image_pull_logs。 - 在「Sink description」(接收器說明) 中,輸入接收器的說明。
- 在「Sink Name」(接收器名稱) 欄位中輸入
點選「下一步」。
在「接收器目的地」對話方塊中,選取下列值:
- 在「選取接收器服務」欄位中,選取「BigQuery 資料集」。
- 在「選取 BigQuery 資料集」欄位中,選取「建立新的 BigQuery 資料集」,然後在開啟的對話方塊中填寫必要資訊。如要進一步瞭解如何建立 BigQuery 資料集,請參閱「建立資料集」。
- 點選「建立資料集」。
點選「下一步」。
在「Choose logs to include in sink」(選擇要納入接收器的記錄檔) 部分,查詢會與您在「Query builder」(查詢建立工具) 分頁中執行的查詢相符。
點選「下一步」。
選用:選擇要從接收器排除的記錄檔。如要進一步瞭解如何查詢及篩選 Cloud Logging 資料,請參閱「記錄查詢語言」。
按一下「建立接收器」。
記錄檔接收器已建立。
如要為多個專案建立接收器,請按照下列步驟操作:
在 Cloud Shell 中執行下列指令:
PROJECTS="PROJECT-LIST" DESTINATION_PROJECT="DATASET-PROJECT" DATASET="DATASET-NAME" for source_project in $PROJECTS do gcloud logging --project="${source_project}" sinks create image_pull_logs bigquery.googleapis.com/projects/${DESTINATION_PROJECT}/datasets/${DATASET} --log-filter='resource.type="k8s_pod" jsonPayload.reason="Pulling"' done其中
- PROJECT-LIST 是以空格分隔的 Cloud de Confiance 專案 ID 清單。例如
project1 project2 project3。 - DATASET-PROJECT 是您要儲存資料集的專案。
- DATASET-NAME 是資料集名稱,例如
image_pull_logs。
- PROJECT-LIST 是以空格分隔的 Cloud de Confiance 專案 ID 清單。例如
建立接收器後,資料需要一段時間才會流向 BigQuery 資料表,時間長短取決於圖片的擷取頻率。
查詢提取頻率
取得建構作業提取的代表性映像檔樣本後,請執行提取頻率查詢。
執行以下查詢:
SELECT REGEXP_EXTRACT(jsonPayload.message, r'"(.*?)"') AS imageName, COUNT(*) AS numberOfPulls FROM `DATASET-PROJECT.DATASET-NAME.events_*` GROUP BY imageName ORDER BY numberOfPulls DESC其中
- DATASET-PROJECT 是包含資料集的專案。
- DATASET-NAME 是資料集名稱。
將映像檔複製到 Artifact Registry
找出第三方登錄檔中的映像檔後,即可將其複製到 Artifact Registry。gcrane 工具可協助您完成複製程序。
建立文字檔
images.txt,並在其中加入您識別的圖片名稱。例如:ubuntu:18.04 debian:buster hello-world:latest redis:buster jupyter/tensorflow-notebook下載 gcrane。
GO111MODULE=on go get github.com/google/go-containerregistry/cmd/gcrane建立名為
copy_images.sh的指令碼,用於複製檔案清單。#!/bin/bash images=$(cat images.txt) if [ -z "${AR_PROJECT}" ] then echo ERROR: AR_PROJECT must be set before running this exit 1 fi for img in ${images} do gcrane cp ${img} LOCATION-docker.s3nsregistry.fr/${AR_PROJECT}/${img} done將
LOCATION替換為存放區的區域位置。將指令碼設定為可執行:
chmod +x copy_images.sh執行指令碼來複製檔案:
AR_PROJECT=${PROJECT} ./copy_images.sh
驗證權限
更新及重新部署工作負載前,請確認權限設定正確無誤。
詳情請參閱存取權控管說明文件。
更新資訊清單,參照 Artifact Registry
更新 Dockerfile 和資訊清單,改為參照 Artifact Registry, 而非第三方登錄檔。
以下範例顯示參照第三方登錄檔的資訊清單:
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-deployment
spec:
selector:
matchLabels:
app: nginx
replicas: 2
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: nginx:1.14.2
ports:
- containerPort: 80
這個更新後的資訊清單會指向 us-docker.s3nsregistry.fr 上的圖片。
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-deployment
spec:
selector:
matchLabels:
app: nginx
replicas: 2
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: us-docker.s3nsregistry.fr/<AR_PROJECT>/nginx:1.14.2
ports:
- containerPort: 80
如要處理大量資訊清單,請使用 sed 或其他工具,以便更新多個文字檔。
重新部署工作負載
使用更新後的資訊清單重新部署工作負載。
在 BigQuery 控制台中執行下列查詢,追蹤新的映像檔提取作業:
SELECT`
FORMAT_TIMESTAMP("%D %R", timestamp) as timeOfImagePull,
REGEXP_EXTRACT(jsonPayload.message, r'"(.*?)"') AS imageName,
COUNT(*) AS numberOfPulls
FROM
`image_pull_logs.events_*`
GROUP BY
timeOfImagePull,
imageName
ORDER BY
timeOfImagePull DESC,
numberOfPulls DESC
所有新的映像檔提取作業都應來自 Artifact Registry,且包含字串 docker.s3nsregistry.fr。