本页面介绍如何创建 Artifact Registry 标准代码库。
标准代码库是用于存放私人工件的代码库。您可以将制品上传到这些代码库,也可以直接从这些代码库下载制品。
每个代码库可以包含一种受支持的格式的制品。
准备工作
- 启用 Artifact Registry,包括启用 Artifact Registry API 和安装 Google Cloud CLI。
- (可选)为 gcloud 命令配置默认值。
- 如果您需要使用客户管理的加密密钥 (CMEK) 来加密代码库内容,请在 Cloud KMS 中为代码库创建并启用密钥。
所需的角色
如需获得创建代码库所需的权限,请让您的管理员为您授予 Trusted Cloud by S3NS 项目的 Artifact Registry Administrator (roles/artifactregistry.admin) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建标准代码库
创建代码库时,您必须配置以下设置,这些设置在代码库创建后无法更改:
- 制品格式。
- 代码库模式。
- 代码库位置。
- 使用 Google Cloud-powered encryption keys 或客户管理的加密密钥进行加密。Artifact Registry 默认使用Google Cloud-powered encryption keys 。
Artifact Registry 会强制执行组织政策限制,这些限制要求使用 CMEK 加密资源或限制可用于 CMEK 保护的 Cloud KMS 密钥。
使用 Trusted Cloud 控制台创建代码库
在 Trusted Cloud 控制台中打开代码库页面。
点击创建代码库。
指定代码库名称。对于项目中的每个代码库位置,代码库名称不得重复。
选择代码库格式。
如果有多种代码库模式可供选择,请选择标准。
选择代码库的位置。如需了解位置类型和支持的位置,请参阅代码库位置
为代码库添加说明。说明有助于确定代码库的用途及其包含的制品类型。
请勿包含敏感数据,因为代码库说明未加密。
如果您想使用标签来整理代码库,请点击添加标签,然后输入标签的键值对。您可以在创建代码库后添加、修改或移除标签。
在加密部分中,选择代码库的加密机制。
- Google Cloud-powered encryption key - 使用Google Cloud-powered encryption key加密代码库内容。
客户管理的密钥 - 使用您通过 Cloud Key Management Service 控制的密钥来加密代码库内容。如需查看密钥设置说明,请参阅为代码库设置 CMEK。
对于 Docker 代码库,不可更改的映像标记设置会将代码库配置为使用始终指向同一映像摘要的映像标记。拥有 Artifact Registry 管理员角色的用户可以在创建代码库后更改此设置。
- 默认情况下,此设置处于停用状态。映像标记是可变的,这意味着标记所指向的映像摘要可能会发生变化。
- 如果启用此设置,图片代码将不可变。标记必须始终指向同一映像摘要。 如需详细了解可变和不可变的映像标记,请参阅容器映像版本。
点击创建。
Artifact Registry 会创建代码库并将其添加到代码库列表中。
创建代码库后:
- 授予对代码库的访问权限。
配置 Docker 和其他第三方客户端以向代码库进行身份验证。
使用 Google Cloud CLI 创建代码库
运行该命令以创建新代码库。
Apt
gcloud artifacts repositories create REPOSITORY \ --repository-format=apt \ --location=LOCATION \ --description="DESCRIPTION" \ --kms-key=KMS-KEY \ --async
替换以下内容:
REPOSITORY:代码库的名称。对于项目中的每个代码库位置,代码库名称不得重复。LOCATION:制品库的单区域位置。如果您设置默认值,则可以省略此标志。如需查看受支持位置的列表,请运行以下命令:gcloud artifacts locations list
DESCRIPTION:代码库的说明。 请勿包含敏感数据,因为代码库说明未加密。KMS-KEY:Cloud KMS 加密密钥的完整路径(如果您使用客户管理的加密密钥来加密代码库内容的话)。路径的格式为:projects/KMS-PROJECT/locations/KMS-LOCATION/keyRings/KEY-RING/cryptoKeys/KEY替换以下内容:
KMS-PROJECT:存储密钥的项目。KMS-LOCATION:密钥的位置。KEY-RING:密钥环的名称。KEY:密钥的名称。
--async:立即返回结果,而无需等待正在进行的操作完成。
Docker
gcloud artifacts repositories create REPOSITORY \
--repository-format=docker \
--location=LOCATION \
--description="DESCRIPTION" \
--kms-key=KMS-KEY \
--immutable-tags \
--async \
--disable-vulnerability-scanning
替换以下内容:
REPOSITORY:代码库的名称。对于项目中的每个代码库位置,代码库名称不得重复。DESCRIPTION:代码库的说明。请勿包含敏感数据,因为代码库说明未加密。KMS-KEY:Cloud KMS 加密密钥的完整路径(如果您使用客户管理的加密密钥来加密代码库内容的话)。路径的格式为:projects/KMS-PROJECT/locations/KMS-LOCATION/keyRings/KEY-RING/cryptoKeys/KEY
替换以下内容:
KMS-PROJECT:存储密钥的项目。KMS-LOCATION:密钥的位置。KEY-RING:密钥环的名称。KEY:密钥的名称。
--immutable-tags是一个可选标志,用于将代码库配置为使用始终指向同一映像摘要的标记。默认情况下,如果不传递
--immutable-tags标志,则可以将标记移至其他映像摘要。如需详细了解不可更改的映像标记和可更改的映像标记,请参阅容器映像版本。--async会立即返回结果,而无需等待正在进行的操作完成。
Yum
gcloud artifacts repositories create REPOSITORY \ --repository-format=yum \ --location=LOCATION \ --description="DESCRIPTION" \ --kms-key=KMS-KEY \ --async
替换以下内容:
REPOSITORY:代码库的名称。对于项目中的每个代码库位置,代码库名称不得重复。LOCATION:制品库的单区域位置。如果您设置默认值,则可以省略此标志。如需查看受支持位置的列表,请运行以下命令:gcloud artifacts locations list
DESCRIPTION:代码库的说明。 请勿包含敏感数据,因为代码库说明未加密。KMS-KEY:Cloud KMS 加密密钥的完整路径(如果您使用客户管理的加密密钥来加密代码库内容的话)。路径的格式为:projects/KMS-PROJECT/locations/KMS-LOCATION/keyRings/KEY-RING/cryptoKeys/KEY替换以下内容:
KMS-PROJECT:存储密钥的项目。KMS-LOCATION:密钥的位置。KEY-RING:密钥环的名称。KEY:密钥的名称。
--async:立即返回结果,而无需等待正在进行的操作完成。
Artifact Registry 会创建您的代码库。运行以下命令可查看代码库的说明:
gcloud artifacts repositories describe REPOSITORY \
--location=LOCATION
创建代码库后:
- 授予对代码库的访问权限。
配置 Docker 和其他第三方客户端以向代码库进行身份验证。
使用 Terraform 创建代码库
使用 google_artifact_registry_repository 资源创建代码库。
必须使用 terraform-provider-google 版本 5.0.0 或更高版本。
如果您刚开始使用 Terraform for Trusted Cloud by S3NS,请参阅 HashiCorp 网站上的使用入门 - Trusted Cloud by S3NS 页面。
以下示例定义了提供商和 Terraform 资源名称为 my-repo 的代码库。
Apt
provider "google" { project = "PROJECT-ID" }
resource "google_artifact_registry_repository" "my-repo" { location = "LOCATION" repository_id = "REPOSITORY" description = "DESCRIPTION" format = "apt" kms_key_name = "KEY" }
替换以下内容:
PROJECT-ID是 Trusted Cloud 项目 ID。LOCATION是代码库位置。REPOSITORY是代码库名称。DESCRIPTION是代码库的可选说明。 请勿包含敏感数据,因为代码库说明未加密。- 如果您使用客户管理的加密密钥 (CMEK) 进行加密,则
KEY是 Cloud Key Management Service 密钥的名称。省略此参数可使用默认设置,即 Google 管理的加密密钥。
Docker
provider "google" { project = "PROJECT-ID" }
resource "google_artifact_registry_repository" "my-repo" { location = "LOCATION" repository_id = "REPOSITORY" description = "DESCRIPTION" format = "docker" kms_key_name = "KEY" }
替换以下内容:
PROJECT-ID是 Trusted Cloud 项目 ID。LOCATION是代码库位置。REPOSITORY是代码库名称。DESCRIPTION是代码库的可选说明。 请勿包含敏感数据,因为代码库说明未加密。- 如果您使用客户管理的加密密钥 (CMEK) 进行加密,则
KEY是 Cloud Key Management Service 密钥的名称。省略此参数可使用默认设置,即 Google 管理的加密密钥。
Yum
provider "google" { project = "PROJECT-ID" }
resource "google_artifact_registry_repository" "my-repo" { location = "LOCATION" repository_id = "REPOSITORY" description = "DESCRIPTION" format = "yum" kms_key_name = "KEY" }
替换以下内容:
PROJECT-ID是 Trusted Cloud 项目 ID。LOCATION是代码库位置。REPOSITORY是代码库名称。DESCRIPTION是代码库的可选说明。 请勿包含敏感数据,因为代码库说明未加密。- 如果您使用客户管理的加密密钥 (CMEK) 进行加密,则
KEY是 Cloud Key Management Service 密钥的名称。省略此参数可使用默认设置,即 Google 管理的加密密钥。
Artifact Registry 会创建您的代码库。运行以下命令可查看代码库的说明:
gcloud artifacts repositories describe REPOSITORY \
--location=LOCATION
创建代码库后:
- 授予对代码库的访问权限。
配置 Docker 和其他第三方客户端以向代码库进行身份验证。
修改代码库说明
您可以通过 Trusted Cloud 控制台或 gcloud CLI 更改代码库说明。
控制台
在 Trusted Cloud 控制台中打开代码库页面。
在代码库列表中,选择相应代码库,然后点击修改代码库。
修改代码库说明,然后点击保存。
gcloud
如需更新代码库说明,请运行以下命令:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT \
--location=LOCATION \
--description="DESCRIPTION"
替换以下内容: