本文說明如何為 Artifact Registry 遠端存放區設定 Docker Hub 上游存放區的驗證機制。
即使只使用公開映像檔,我們仍建議您向 Docker Hub 驗證,因為驗證後下載速率上限會提高。如要進一步瞭解 Docker Hub 下載速率限制,請參閱 Docker Hub 速率限制。您可以在遠端存放區中新增 Docker Hub 使用者名稱和儲存為密鑰的個人存取權杖,以便進行 Docker Hub 驗證。
本文假設您已建立 Artifact Registry Docker 遠端存放區和 Docker Hub 帳戶。
如要進一步瞭解遠端存放區,請參閱「遠端存放區總覽」。
必要的角色
如要取得設定遠端存放區 Docker Hub 驗證機制所需的權限,請要求管理員授予您專案的下列 IAM 角色:
-
Artifact Registry 管理員 (
roles/artifactregistry.admin) -
Secret Manager 管理員 (
roles/secretmanager.admin)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
建立 Docker Hub 個人存取權杖
- 登入 Docker Hub。
- 建立具有唯讀權限的個人存取權杖。
複製存取權杖。
將存取權杖儲存至本機或 Cloud Shell 的文字檔。
將個人存取權杖儲存於密鑰版本中
授予 Artifact Registry 服務帳戶存取密鑰的權限
Artifact Registry 服務代理人與 Google Cloud 服務互動時,會代表 Artifact Registry 執行動作。如要允許服務代理使用儲存在 Secret Manager 中的密鑰,您必須授予服務代理檢視密鑰版本的權限。
服務代理 ID 為:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER 是執行 Artifact Registry 的 Google Cloud 專案專案編號。
如要將 Secret Manager 密鑰存取者角色授予 Artifact Registry 服務代理程式,請執行下列指令:
控制台
-
前往 Google Cloud 控制台的「Secret Manager」頁面。
-
在「Secret Manager」(密鑰管理工具) 頁面中,勾選密鑰名稱旁的核取方塊。
-
如果面板尚未開啟,請按一下「Show Info Panel」(顯示資訊面板) 開啟面板。
-
在資訊面板中,按一下「新增主體」。
-
在「New principals」(新增主體) 文字區域中,輸入要新增成員的電子郵件地址。
-
在「Select a role」(請選擇角色) 下拉式選單中,依序選擇「Secret Manager」和「Secret Manager Secret Accessor」。
gcloud
$ gcloud secrets add-iam-policy-binding secret-id \
--member="member" \
--role="roles/secretmanager.secretAccessor"
其中 member 是IAM 成員,例如使用者、群組或服務帳戶。
C#
如要向 Artifact Registry 進行驗證,請設定應用程式預設憑證。 詳情請參閱「為本機開發環境設定驗證」。
Go
如要向 Artifact Registry 進行驗證,請設定應用程式預設憑證。 詳情請參閱「為本機開發環境設定驗證」。
Java
如要向 Artifact Registry 進行驗證,請設定應用程式預設憑證。 詳情請參閱「為本機開發環境設定驗證」。
Node.js
如要向 Artifact Registry 進行驗證,請設定應用程式預設憑證。 詳情請參閱「為本機開發環境設定驗證」。
PHP
如要向 Artifact Registry 進行驗證,請設定應用程式預設憑證。 詳情請參閱「為本機開發環境設定驗證」。
Python
如要向 Artifact Registry 進行驗證,請設定應用程式預設憑證。 詳情請參閱「為本機開發環境設定驗證」。
Ruby
如要向 Artifact Registry 進行驗證,請設定應用程式預設憑證。 詳情請參閱「為本機開發環境設定驗證」。
API
注意:與其他範例不同,這個範例會取代整個 IAM 政策。
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id:setIamPolicy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json" \
--data "{\"policy\": {\"bindings\": [{\"members\": [\"member\"], \"role\": \"roles/secretmanager.secretAccessor\"}]}}"
如要進一步瞭解如何授予或撤銷密鑰存取權,請參閱「管理密鑰存取權」。
將 Docker Hub 憑證新增至遠端存放區
如要使用 Docker Hub 憑證更新遠端存放區,請按照下列步驟操作:
主控台
在 Google Cloud 控制台中開啟「Repositories」(存放區) 頁面。
在存放區清單中選取存放區,然後按一下「Edit Repository」(編輯存放區)。
在「遠端存放區驗證模式」部分,更新或新增 Docker Hub 使用者名稱,以及包含 Docker Hub 存取權杖的密鑰版本。
gcloud CLI
如要使用 Docker Hub 憑證更新遠端存放區,請執行下列指令:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT_ID \
--location=LOCATION \
--remote-username=USERNAME \
--remote-password-secret-version=projects/SECRET_PROJECT_ID/secrets/SECRET_ID/versions/SECRET_VERSION
更改下列內容:
- 將
REPOSITORY替換為 Artifact Registry 遠端存放區的名稱。 - 將
PROJECT_ID改成您的專案 ID。 Google Cloud LOCATION,其中包含存放區的區域或多區域位置。如果您設定 default,可以省略這個旗標。如要查看支援的位置清單,請執行gcloud artifacts locations list指令。USERNAME替換為您的 Docker Hub 使用者名稱。- 將
SECRET_PROJECT_ID替換為您建立密鑰的Google Cloud 專案 ID。 SECRET_ID改為您為密鑰指定的名稱。SECRET_VERSION,並在其中儲存 Docker Hub 存取權杖。
下次遠端存放區從上游來源要求構件時,系統就會使用您的憑證。
後續步驟
- 進一步瞭解 Artifact Registry 存放區。
- 使用 Docker 提取映像檔。
- 使用 Docker Hub 遠端存放區 quickstart。