Auf dieser Seite wird beschrieben, wie Sie Artifact Registry-Standardrepositories erstellen.
Standard-Repositories sind Repositories für Ihre privaten Artefakte. Sie laden Artefakte in diese Repositories hoch und laden Artefakte direkt aus diesen Repositories herunter.
Jedes Repository kann Artefakte für ein unterstütztes Format enthalten.
Hinweise
- Aktivieren Sie Artifact Registry sowie die Artifact Registry API und installieren Sie die Google Cloud CLI.
- (Optional) Konfigurieren Sie die Standardeinstellungen für gcloud-Befehle.
- Wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) zum Verschlüsseln von Repository-Inhalten benötigen, erstellen und aktivieren Sie einen Schlüssel in Cloud KMS für das Repository.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Artifact Registry Administrator (roles/artifactregistry.admin) für das Projekt Trusted Cloud by S3NS zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Repositories benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Standard-Repository erstellen
Beim Erstellen eines Repositorys müssen Sie die folgenden Einstellungen konfigurieren, die nach dem Erstellen des Repositorys nicht mehr geändert werden können:
- Artefaktformat
- Repository-Modus.
- Speicherort des Repositorys.
- Verschlüsselung mit Google Cloud-powered encryption keys oder vom Kunden verwalteten Verschlüsselungsschlüsseln. Artifact Registry verwendet standardmäßigGoogle Cloud-powered encryption keys .
In Artifact Registry werden Einschränkungen für Organisationsrichtlinien erzwungen, die CMEK zum Verschlüsseln von Ressourcen erfordern oder einschränken, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden können.
Repository mit derCOMMENTConsole erstellen Trusted Cloud
Öffnen Sie in der Trusted Cloud Console die Seite Repositories.
Klicken Sie auf Repository erstellen.
Geben Sie den Repository-Namen an. Repository-Namen können für jeden Repository-Speicherort in einem Projekt nur einmal vorkommen.
Wählen Sie das Repository-Format aus.
Wenn mehrere Repository-Modi verfügbar sind, wählen Sie Standard aus.
Wählen Sie den Speicherort für das Repository aus. Informationen zu Typen von Speicherorten und unterstützten Speicherorten finden Sie unter Repository-Speicherorte.
Fügen Sie eine Beschreibung für das Repository hinzu. Beschreibungen helfen dabei, den Zweck des Repositorys und die darin enthaltenen Artefakte zu ermitteln.
Geben Sie keine vertraulichen Daten an, da Repository-Beschreibungen nicht verschlüsselt werden.
Wenn Sie Ihre Repositories mit Labels organisieren möchten, klicken Sie auf Label hinzufügen und geben Sie das Schlüssel/Wert-Paar für das Label ein. Sie können Labels hinzufügen, bearbeiten oder entfernen, nachdem Sie das Repository erstellt haben.
Wählen Sie im Abschnitt Verschlüsselung den Verschlüsselungsmechanismus für das Repository aus.
- Google Cloud-powered encryption key: Verschlüsselung des Repository-Inhalts mit einemGoogle Cloud-powered encryption key.
Vom Kunden verwalteter Schlüssel: Verschlüsselung des Repository-Inhalts mit einem Schlüssel, den Sie über Cloud Key Management Service steuern. Eine grundlegende Einrichtungsanleitung finden Sie unter Vom Kunden verwalteten Schlüssel für Repositories einrichten.
Bei Docker-Repositories wird mit der Einstellung Unveränderliche Image-Tags festgelegt, dass in Ihrem Repository Image-Tags verwendet werden, die immer auf denselben Image-Digest verweisen. Ein Nutzer mit der Rolle „Artifact Registry-Administrator“ kann diese Einstellung nach dem Erstellen des Repositorys ändern.
- Diese Einstellung ist standardmäßig deaktiviert. Image-Tags sind änderbar. Das bedeutet, dass sich der Image-Digest, auf den das Tag verweist, ändern kann.
- Wenn diese Einstellung aktiviert ist, sind Image-Tags unveränderlich. Ein Tag muss immer auf denselben Image-Digest verweisen. Weitere Informationen zu veränderlichen und unveränderlichen Image-Tags finden Sie unter Container-Image-Versionen.
Klicken Sie auf Erstellen.
Artifact Registry erstellt das Repository und fügt es der Liste der Repositories hinzu.
Nachdem Sie das Repository erstellt haben, gehen Sie so vor:
- Gewähren Sie Zugriff auf das Repository.
Docker und andere Drittanbieterclients für die Authentifizierung bei Repositories konfigurieren.
Repository mit der Google Cloud CLI erstellen
Führen Sie den Befehl aus, um ein neues Repository zu erstellen.
Apt
gcloud artifacts repositories create REPOSITORY \ --repository-format=apt \ --location=LOCATION \ --description="DESCRIPTION" \ --kms-key=KMS-KEY \ --async
Ersetzen Sie Folgendes:
REPOSITORY: Name des Repositorys. Repository-Namen können für jeden Repository-Speicherort in einem Projekt nur einmal vorkommen.LOCATION: der regionale Speicherort für das Repository. Sie können dieses Flag weglassen, wenn Sie einen Standard-Speicherort festgelegt haben. Führen Sie den folgenden Befehl aus, um eine Liste der unterstützten Speicherorte aufzurufen:gcloud artifacts locations list
DESCRIPTION: eine Beschreibung des Repositorys. Geben Sie keine vertraulichen Daten an, da Repository-Beschreibungen nicht verschlüsselt werden.KMS-KEY: der vollständige Pfad zum Cloud KMS-Verschlüsselungsschlüssel, wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel zum Verschlüsseln des Repository-Inhalts verwenden. Der Pfad hat folgendes Format:projects/KMS-PROJECT/locations/KMS-LOCATION/keyRings/KEY-RING/cryptoKeys/KEYErsetzen Sie Folgendes:
KMS-PROJECT: das Projekt, in dem Ihr Schlüssel gespeichert ist.KMS-LOCATION: Der Speicherort des Schlüssels.KEY-RING: Der Name des Schlüsselbunds.KEY: Der Name des Schlüssels.
--async: wird sofort zurückgegeben, ohne auf den Abschluss des Vorgangs zu warten.
Docker
gcloud artifacts repositories create REPOSITORY \
--repository-format=docker \
--location=LOCATION \
--description="DESCRIPTION" \
--kms-key=KMS-KEY \
--immutable-tags \
--async \
--disable-vulnerability-scanning
Ersetzen Sie Folgendes:
REPOSITORY: Name des Repositorys. Repository-Namen können für jeden Repository-Speicherort in einem Projekt nur einmal vorkommen.LOCATION: der regionale Speicherort für das Repository. Sie können dieses Flag weglassen, wenn Sie einen Standard-Speicherort festgelegt haben. Führen Sie den folgenden Befehl aus, um eine Liste der unterstützten Speicherorte aufzurufen:gcloud artifacts locations list
DESCRIPTION: eine Beschreibung des Repositorys. Geben Sie keine vertraulichen Daten an, da Repository-Beschreibungen nicht verschlüsselt werden.KMS-KEY: Der vollständige Pfad zum Cloud KMS-Verschlüsselungsschlüssel, wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel zum Verschlüsseln des Repository-Inhalts verwenden. Der Pfad hat folgendes Format:projects/KMS-PROJECT/locations/KMS-LOCATION/keyRings/KEY-RING/cryptoKeys/KEY
Ersetzen Sie Folgendes:
KMS-PROJECT: das Projekt, in dem Ihr Schlüssel gespeichert ist.KMS-LOCATION: Der Speicherort des Schlüssels.KEY-RING: Der Name des Schlüsselbunds.KEY: Der Name des Schlüssels.
--immutable-tagsist ein optionales Flag, mit dem Sie Ihr Repository so konfigurieren, dass Tags verwendet werden, die immer auf denselben Image-Digest verweisen.Wenn das Flag
--immutable-tagsnicht übergeben wird, kann ein Tag standardmäßig zu einem anderen Image-Digest verschoben werden. Weitere Informationen zu unveränderlichen und veränderlichen Image-Tags finden Sie unter Container-Image-Versionen.--asyncwird sofort zurückgegeben, ohne auf den Abschluss des Vorgangs zu warten.
Yum
gcloud artifacts repositories create REPOSITORY \ --repository-format=yum \ --location=LOCATION \ --description="DESCRIPTION" \ --kms-key=KMS-KEY \ --async
Ersetzen Sie Folgendes:
REPOSITORY: Name des Repositorys. Repository-Namen können für jeden Repository-Speicherort in einem Projekt nur einmal vorkommen.LOCATION: der regionale Speicherort für das Repository. Sie können dieses Flag weglassen, wenn Sie einen Standard-Speicherort festgelegt haben. Führen Sie den folgenden Befehl aus, um eine Liste der unterstützten Speicherorte aufzurufen:gcloud artifacts locations list
DESCRIPTION: eine Beschreibung des Repositorys. Geben Sie keine vertraulichen Daten an, da Repository-Beschreibungen nicht verschlüsselt werden.KMS-KEY: der vollständige Pfad zum Cloud KMS-Verschlüsselungsschlüssel, wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel zum Verschlüsseln des Repository-Inhalts nutzen. Der Pfad hat folgendes Format:projects/KMS-PROJECT/locations/KMS-LOCATION/keyRings/KEY-RING/cryptoKeys/KEYErsetzen Sie Folgendes:
KMS-PROJECT: das Projekt, in dem Ihr Schlüssel gespeichert ist.KMS-LOCATION: Der Speicherort des Schlüssels.KEY-RING: Der Name des Schlüsselbunds.KEY: Der Name des Schlüssels.
--async: wird sofort zurückgegeben, ohne auf den Abschluss des Vorgangs zu warten.
Artifact Registry erstellt das Repository. Führen Sie den folgenden Befehl aus, um eine Beschreibung des Repositorys aufzurufen:
gcloud artifacts repositories describe REPOSITORY \
--location=LOCATION
Nachdem Sie das Repository erstellt haben, gehen Sie so vor:
- Zugriff auf das Repository gewähren.
Docker und andere Drittanbieterclients für die Authentifizierung bei Repositories konfigurieren.
Repository mit Terraform erstellen
Verwenden Sie die Ressource google_artifact_registry_repository, um Repositories zu erstellen.
Die Version 5.0.0 oder höher von terraform-provider-google ist erforderlich.
Wenn Sie Terraform für Trusted Cloud by S3NSnoch nicht kennen, lesen Sie die Seite Erste Schritte: Trusted Cloud by S3NS auf der HashiCorp-Website.
Im folgenden Beispiel werden der Anbieter und ein Repository mit dem Terraform-Ressourcennamen my-repo definiert.
Apt
provider "google" { project = "PROJECT-ID" }
resource "google_artifact_registry_repository" "my-repo" { location = "LOCATION" repository_id = "REPOSITORY" description = "DESCRIPTION" format = "apt" kms_key_name = "KEY" }
Ersetzen Sie Folgendes:
PROJECT-IDist die Trusted Cloud Projekt-ID.LOCATIONist der Speicherort des Repositorys.REPOSITORYist der Name des Repositorys.DESCRIPTIONist die optionale Beschreibung für das Repository. Geben Sie keine vertraulichen Daten an, da Repository-Beschreibungen nicht verschlüsselt sind.KEYist der Name des Cloud Key Management Service-Schlüssels, wenn Sie für die Verschlüsselung vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. Lassen Sie dieses Argument aus, um die von Google verwaltete Standardeinstellung zu verwenden.
Docker
provider "google" { project = "PROJECT-ID" }
resource "google_artifact_registry_repository" "my-repo" { location = "LOCATION" repository_id = "REPOSITORY" description = "DESCRIPTION" format = "docker" kms_key_name = "KEY" }
Ersetzen Sie Folgendes:
PROJECT-IDist die Trusted Cloud Projekt-ID.LOCATIONist der Speicherort des Repositorys.REPOSITORYist der Name des Repositorys.DESCRIPTIONist die optionale Beschreibung für das Repository. Geben Sie keine vertraulichen Daten an, da Repository-Beschreibungen nicht verschlüsselt sind.KEYist der Name des Cloud Key Management Service-Schlüssels, wenn Sie für die Verschlüsselung vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. Lassen Sie dieses Argument aus, um die von Google verwaltete Standardeinstellung zu verwenden.
Yum
provider "google" { project = "PROJECT-ID" }
resource "google_artifact_registry_repository" "my-repo" { location = "LOCATION" repository_id = "REPOSITORY" description = "DESCRIPTION" format = "yum" kms_key_name = "KEY" }
Ersetzen Sie Folgendes:
PROJECT-IDist die Trusted Cloud Projekt-ID.LOCATIONist der Speicherort des Repositorys.REPOSITORYist der Name des Repositorys.DESCRIPTIONist die optionale Beschreibung für das Repository. Geben Sie keine vertraulichen Daten an, da Repository-Beschreibungen nicht verschlüsselt sind.KEYist der Name des Cloud Key Management Service-Schlüssels, wenn Sie für die Verschlüsselung vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. Lassen Sie dieses Argument aus, um die von Google verwaltete Standardeinstellung zu verwenden.
Artifact Registry erstellt das Repository. Führen Sie den folgenden Befehl aus, um eine Beschreibung des Repositorys aufzurufen:
gcloud artifacts repositories describe REPOSITORY \
--location=LOCATION
Nachdem Sie das Repository erstellt haben:
- Gewähren Sie Zugriff auf das Repository.
Docker und andere Drittanbieterclients für die Authentifizierung bei Repositories konfigurieren.
Repository-Beschreibungen bearbeiten
Sie können die Repository-Beschreibung über die Trusted Cloud Console oder die gcloud CLI ändern.
Console
Öffnen Sie in der Trusted Cloud Console die Seite Repositories.
Wählen Sie in der Repository-Liste das Repository aus und klicken Sie auf Repository bearbeiten.
Bearbeiten Sie die Repository-Beschreibung und klicken Sie dann auf Speichern.
gcloud
Führen Sie den folgenden Befehl aus, um die Repository-Beschreibung zu aktualisieren:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT \
--location=LOCATION \
--description="DESCRIPTION"
Ersetzen Sie Folgendes:
REPOSITORY: der Name des Repositorys. Wenn Sie ein Standard-Repository konfiguriert haben, wird bei Weglassen dieses Flags dieses Standard-Repository verwendet.PROJECT: die Trusted Cloud by S3NS Projekt-ID. Wenn dieses Flag nicht angegeben ist, wird das aktuelle Projekt oder das Standardprojekt verwendet.-
LOCATIONist der regionale Speicherort des Repositorys. Mit diesem Flag können Sie Repositories an einem bestimmten Speicherort aufrufen. Wenn Sie einen Standard-Speicherort konfiguriert haben, wird bei Weglassen dieses Flags dieser Standardwert verwendet. DESCRIPTION: Eine Beschreibung des Repositorys.