Container Registry è deprecato e programmato per l'arresto. A partire dal 15 maggio 2024, Artifact Registry ospita le immagini per il dominio gcr.io in progetti senza precedente utilizzo di Container Registry. Dopo il 18 marzo 2025, Container Registry verrà arrestato.

Per iniziare a gestire i container su Google Cloud, utilizza Artifact Registry. Se usi Container Registry, scopri come eseguire la transizione ad Artifact Registry per gestire i tuoi container su Google Cloud.

Per maggiori informazioni sul ritiro e la disattivazione, consulta la pagina sui ritiri e le note di rilascio.

Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Container Registry

Container Registry è il servizio legacy per l'archiviazione di immagini container private su Google Cloud.

Il servizio è ritirato. Puoi spostare le immagini esistenti in Artifact Registry e continua ad accedervi utilizzando il dominio gcr.io. A partire dal 15 maggio 2024, i progetti senza precedente utilizzo di Container Registry ospiterà solo immagini per il dominio gcr.io in Artifact Registry.

Per un confronto tra Container Registry e Artifact Registry e informazioni sulla transizione da Container Registry ad Artifact Registry, consulta Transizione da Container Registry.

Utilizzo delle immagini

Molte persone usano Docker Hub come registro centrale per l'archiviazione di file Docker pubblici ma per controllare l'accesso alle immagini devi utilizzare un come Artifact Registry o Container Registry.

È possibile accedere al registro tramite endpoint HTTPS sicuri, che consentono esegui il push, il pull e la gestione delle immagini da qualsiasi sistema, istanza VM o hardware tuo.

Integra il registro con i servizi CI/CD di Google Cloud o con il tuo strumenti CI/CD esistenti.
- Archiviare le immagini container da Cloud Build.
- Esegui il deployment di immagini container nei runtime Google Cloud, tra cui Google Kubernetes Engine, Cloud Run, Compute Engine e Ambiente flessibile di App Engine.
- Identity and Access Management fornisce credenziali e controllo dell'accesso coerenti.
Proteggi la catena di fornitura del software dei container.
- Gestisci i metadati dei container e analizza le vulnerabilità dei container con Analisi degli artefatti.
- Applica i criteri di deployment con Autorizzazione binaria.
Proteggi il registro in un Controlli di servizio VPC perimetro di sicurezza.

Registri

Puoi creare fino a quattro host multiregionali in ogni cluster Google Cloud con Container Registry. Se vuoi creare contenuti più discreti, con criteri di accesso separati o archiviazione di immagini in regioni anziché in più regioni, usa Artifact Registry.

I registri in Container Registry vengono denominati in base all'host e all'ID progetto. A lavorare con le immagini (ad esempio push, pull, delete) identifica l'immagine usando nel seguente formato:

HOSTNAME/PROJECT-ID/IMAGE:TAG

HOSTNAME/PROJECT-ID/IMAGE@IMAGE-DIGEST

dove:

HOSTNAME è la posizione in cui è archiviata l'immagine:
- Attualmente gcr.io ospita le immagini negli Stati Uniti, ma la località potrebbe cambiare in futuro
- us.gcr.io ospita l'immagine negli Stati Uniti, in un ambiente bucket di archiviazione dalle immagini ospitate da gcr.io
- eu.gcr.io ospita le immagini all'interno stati membri dell'Unione Europea
- asia.gcr.io ospita le immagini in Asia
Queste località corrispondono più regioni per di archiviazione di Cloud Storage. Quando esegui il push di un'immagine in un registro con nuovo nome host, Container Registry crea un bucket di archiviazione dalla regione multiregionale specificata. Questo bucket è lo spazio di archiviazione sottostante registro di sistema. All'interno di un progetto, tutti i registri con lo stesso nome host condividono in un bucket Cloud Storage.
PROJECT-ID è la tua console Google Cloud ID progetto. Se l'ID progetto contiene i due punti (:), consulta Progetti con ambito di dominio riportati di seguito.
IMAGE è il nome dell'immagine. Può essere diverso da il nome locale dell'immagine. Nella console Google Cloud, i registri sono elencati in base al nome dell'immagine. Ogni repository può contenere più immagini con lo stesso nome. Ad esempio, potrebbe contenere versioni diverse un'immagine chiamata "my-image".
aggiunta di :TAG o @IMAGE-DIGEST alla fine puoi distinguere una specifica versione dell'immagine, anch'esso è facoltativo. Se non specifichi un tag o il digest, Container Registry cerca l'immagine con il tag predefinito latest. Consulta: Versioni di immagini all'interno di un registro di seguito.

Per l'immagine my-image nel registro gcr.io/PROJECT-ID, utilizzi questo formato per eseguire il push o il pull di un'immagine:

gcr.io/PROJECT-ID/my-image:tag1

dove PROJECT-ID è la tua console Google Cloud ID progetto.

Organizzazione delle immagini con i repository

Puoi raggruppare le immagini correlate in un repository all'interno di un registro. Quando tag, esegui il push o il pull di un'immagine, specifica il nome del repository del progetto nel percorso dell'immagine.

In Container Registry, i repository sono un aiuto per l'organizzazione. Si comportano come cartelle logiche nel percorso dell'immagine, ma non riflettono il file system effettivo strutturale o supportano un controllo dell'accesso più granulare.

Considera le seguenti immagini archiviate nell'host us.gcr.io nel progetto builds:

us.gcr.io/builds/product1/dev/product1-app:beta-2.0
us.gcr.io/builds/product1/stable/product1:1.0
us.gcr.io/builds/product2/dev/product2:alpha
us.gcr.io/builds/product2/stable/product2:1.0

Se un utente ha accesso in scrittura all'host us.gcr.io in builds progetto, può accedere in scrittura a qualsiasi percorso in us.gcr.io/builds tutte le immagini si trovano nello stesso bucket di archiviazione e non puoi limitare l'accesso a livello di repository o immagine.

Se hai bisogno di un controllo dell'accesso più granulare, puoi utilizzare Artifact Registry. In Artifact Registry, i repository sono risorse discrete, quindi puoi applicare criteri IAM separati nei repository come us-docker.pkg.dev/builds/product1 e us-docker.pkg.dev/builds/product2.

Versioni di immagini all'interno di un registro

Un registro può contenere molte immagini, che possono avere e versioni successive. Per identificare una versione specifica dell'immagine all'interno di un registro, puoi specificare il tag o il digest immagine.

I tag fungono da etichetta. È possibile applicare più tag a un'immagine. Ad esempio: un'immagine potrebbe avere il tag v1.5 per un numero di versione e release-candidate per indicare l'idoneità per i test finali.
I digest vengono generati automaticamente, sono univoci di immagine e hanno il formato @IMAGE-DIGEST, dove IMAGE-DIGEST è il valore hash sha256 dei contenuti dell'immagine.

Per identificare una versione specifica dell'immagine my-image:

aggiungi il tag immagine:
```
gcr.io/PROJECT-ID/my-image:tag1
```

oppure aggiungi il digest dell'immagine:

gcr.io/PROJECT-ID/my-image@sha256:4d11e24ba8a615cc85a535daa17b47d3c0219f7eeb2b8208896704ad7f88ae2d

dove PROJECT-ID è la tua console Google Cloud ID progetto. Se l'ID progetto contiene i due punti (:), consulta Progetti con ambito dominio di seguito.

Nella schermata Immagini della console Google Cloud, la colonna Tag elenca i tag dell'immagine. Fai clic sulla versione dell'immagine per visualizzare i metadati, tra cui Image digest.

Per informazioni su come modificare i tag, consulta la sezione Taggare le immagini.

Progetti con ambito dominio

Se l'ambito del progetto è il tuo dominio, l'ID progetto include il nome il dominio seguito dai due punti (:). Per il modo in cui Docker tratta i due punti, devi sostituire i due punti con una barra quando specifichi di un digest di immagini in Container Registry. Identifica le immagini in questo tipo che utilizzano il seguente formato:

HOSTNAME/[DOMAIN]/[PROJECT]/IMAGE

Ad esempio, il progetto con ID example.com:my-project potrebbe avere immagine seguente:

gcr.io/example.com/my-project/image-name

Nomi dei registri come URL

URL https://HOSTNAME/PROJECT-ID/IMAGE è l'URL di un'immagine nella console Google Cloud. Qualsiasi autenticazione utente che dispone dell'autorizzazione per accedere all'host del registry può utilizzare i link per visualizzare le immagini che archivia. Per informazioni dettagliate sul percorso delle immagini, consulta Registry formato.

Ad esempio, i seguenti URL rimandano a registri pubblici in Console Google Cloud:

Formati di immagini container

Container Registry supporta i formati di immagini Docker Image Manifest V2 e OCI. Per saperne di più, consulta Formati immagine container.

Se vuoi archiviare centralmente le immagini e altri tipi di artefatti, considera utilizzando Artifact Registry anziché Container Registry.

Controllo degli accessi

Container Registry archivia i propri tag e file di livello per il container in un bucket Cloud Storage nello stesso progetto del registry. Accedi a configurato utilizzando la classe di Cloud Storage gestione di identità e accessi (IAM) impostazioni.

Un utente che ha accesso a un host del registry può accedere a qualsiasi immagine nell'host Cloud Storage. Se hai bisogno di un controllo dell'accesso più granulare, valuta la possibilità di Artifact Registry. Artifact Registry fornisce dati a livello di repository e il controllo dell'accesso.

Per impostazione predefinita, i proprietari e gli editor del progetto dispongono delle autorizzazioni push e pull per questo progetto. del progetto Container Registry. I visualizzatori del progetto hanno l'autorizzazione di pull .

Per saperne di più sulle autorizzazioni di Container Registry, consulta Configurazione del controllo dell'accesso.

Consulta Container Registry notifiche relative al ritiro per informazioni sui piani per lo spostamento dei metadati delle immagini da Cloud Storage a un database backend ad alte prestazioni.

Autenticazione

Prima di eseguire il push o il pull delle immagini, devi configurare l'autenticazione. Tu puoi configurare Docker in modo che utilizzi Google Cloud CLI per l'autenticazione richieste a Container Registry. Container Registry supporta anche metodi di autenticazione avanzati usando token di accesso o file di chiavi JSON.

Assistente credenziali Docker

Docker deve accedere a Container Registry per eseguire il push e il pull delle immagini. Puoi lo strumento a riga di comando di supporto delle credenziali Docker per configurare Credenziali di Container Registry da utilizzare con Docker.

L'assistente per le credenziali recupera le credenziali di Container Registry, automaticamente o da una posizione specificata usando il flag --token-source, e le scrive nel file di configurazione di Docker. In questo modo, puoi utilizzare strumento a riga di comando Docker, docker, per interagire direttamente con e Container Registry.

Per ulteriori informazioni, fai riferimento all'argomento Autenticazione avanzata.

Account di servizio Container Registry

Quando abiliti l'API Container Registry, Container Registry aggiunge un'interfaccia al tuo progetto. Questo account di servizio ha il seguente ID:

service-[PROJECT_NUMBER]@containerregistry.iam.gserviceaccount.com

Questo account di servizio di Container Registry è progettato specificamente per consentire a Container Registry di eseguire le attività del servizio sul tuo progetto. Google gestisce questo account, ma è specifico per il tuo progetto.

Se elimini questo account di servizio o ne modifichi le autorizzazioni, verranno Le funzionalità di Container Registry non funzioneranno correttamente. Non dovresti modificare i ruoli o eliminare l'account.

Per ulteriori informazioni su questo account di servizio e sulle relative autorizzazioni, vedi Account di servizio di Container Registry.

Cache pull-through

Il registro mirror.gcr.io memorizza nella cache le immagini pubbliche richieste di frequente da Docker Hub.

L'uso delle immagini memorizzate nella cache può accelerare i pull da Docker Hub. Il tuo cliente ha sempre verifica la presenza di una copia memorizzata nella cache di un'immagine Docker Hub prima di tentare di eseguire il pull direttamente da Docker Hub.

Per ulteriori informazioni, consulta Eseguire il pull delle immagini Docker Hub memorizzate nella cache.

Notifiche

Puoi utilizzare Pub/Sub per ricevere notifiche sulle modifiche alle immagini container.

Per ulteriori informazioni, consulta Configurazione delle notifiche Pub/Sub.

Utilizzo di Container Registry con Google Cloud

Le istanze di Compute Engine e i cluster Google Kubernetes Engine possono eseguire il push e il pull Immagini di Container Registry basate sugli ambiti di Cloud Storage nelle istanze. Consulta Utilizzo di Container Registry con Google Cloud.

Le immagini archiviate in Container Registry possono essere distribuito nell'ambiente flessibile di App Engine.

Integrazioni degli strumenti di distribuzione continua

Container Registry funziona con le comuni integrazioni e di distribuzione dei contenuti, tra cui Cloud Build e strumenti di terze parti come Jenkins.

Container Registry si integra perfettamente con i servizi Google Cloud. Ad esempio, Cloud Build può eseguire il push delle immagini da host Container Registry nello stesso progetto per impostazione predefinita. Tempo di esecuzione in ambienti come Google Kubernetes Engine e Cloud Run possono eseguire il pull delle immagini dagli host del registry nello stesso progetto.

In alternativa, puoi usare strumenti di terze parti come Jenkins per creare, eseguire il pull ed eseguire il push delle immagini. Se utilizzi uno strumento di terze parti, dovrai configurare autorizzazioni e autenticazione per l'account che interagirà con Container Registry per conto dello strumento.

Per esplorare esempi di integrazioni, visualizza Google Cloud guide tecniche che includono e Container Registry.