Mendorong dan menarik gambar

Halaman ini menjelaskan cara mengirim dan menarik image container dengan Docker. Bagian ini juga memberikan informasi tentang menarik image dengan alat crictl jika Anda memecahkan masalah di Google Kubernetes Engine.

Untuk mengetahui informasi tentang men-deploy ke lingkungan runtime Google Cloud , lihat Men-deploy ke Google Cloud.

Untuk mengetahui petunjuk tentang cara membuat daftar, memberi tag, dan menghapus gambar, lihat Mengelola gambar.

Sebelum memulai

  1. Jika repositori target tidak ada, buat repositori baru.
  2. Anda harus memiliki setidaknya akses Artifact Registry Writer ke repositori.
  3. Instal Docker jika belum diinstal.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk mengirim dan menarik image, minta administrator Anda untuk memberikan peran IAM berikut pada repositori:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengautentikasi ke repositori

Anda harus melakukan autentikasi ke repositori setiap kali menggunakan Docker atau klien pihak ketiga lain dengan repositori Docker. Bagian ini memberikan ringkasan singkat tentang hal-hal yang Anda perlukan agar berhasil melakukan autentikasi. Untuk petunjuk mendetail, lihat Menyiapkan autentikasi untuk Docker.

Menggunakan helper kredensial

Untuk bantuan kredensial gcloud CLI atau bantuan kredensial mandiri, host Artifact Registry yang Anda gunakan harus ada dalam file konfigurasi Docker Anda.

Artifact Registry tidak otomatis menambahkan semua host registry ke file konfigurasi Docker. Waktu respons Docker jauh lebih lambat jika ada banyak registry yang dikonfigurasi. Untuk meminimalkan jumlah registri dalam file konfigurasi, Anda menambahkan host yang diperlukan ke file.

Untuk mengonfirmasi host mana yang dikonfigurasi, jalankan perintah berikut untuk menampilkan isi file konfigurasi:

  • Linux: cat ~/.docker/config.json
  • Windows: type %USERPROFILE%\.docker\config.json

Bagian credHelpers mencantumkan host Docker Artifact Registry yang dikonfigurasi. Nama host diakhiri dengan -docker.pkg.dev. Contoh berikut menunjukkan beberapa host yang dikonfigurasi untuk helper kredensial gcloud CLI.

"credHelpers": {
  "asia.gcr.io": "gcloud",
  "eu.gcr.io": "gcloud",
  "gcr.io": "gcloud",
  "marketplace.gcr.io": "gcloud",
  "northamerica-northeast1-docker.pkg.dev": "gcloud",
  "us-central1-docker.pkg.dev": "gcloud",
  "us-east1-docker.pkg.dev": "gcloud",
  "us.gcr.io": "gcloud"
}

Jika host yang ingin Anda gunakan tidak ada dalam daftar, jalankan credential helper lagi untuk menambahkan host. Misalnya, perintah berikut menambahkan us-west1-docker.pkg.dev.

  • Helper kredensial gcloud CLI:

    gcloud auth configure-docker us-west1-docker.pkg.dev

  • Helper kredensial mandiri

    docker-credential-gcr configure-docker us-west1-docker.pkg.dev

Menggunakan token akses

Untuk autentikasi token akses, Anda membuat token dan menggunakannya sebagai sandi dengan perintah docker login. Token berlaku selama 60 menit, jadi Anda harus melakukan autentikasi sesaat sebelum memberi tag, mengirim, atau menarik gambar.

Contoh berikut membuat token akses menggunakan peniruan identitas akun layanan, lalu melakukan autentikasi ke Artifact Registry. Anda harus memiliki izin dalam peran Pembuat Token Akun Layanan (roles/iam.serviceAccountTokenCreator) untuk membuat token dengan cara ini.

Linux

gcloud auth print-access-token \
  --impersonate-service-account  ACCOUNT | docker login \
  -u oauth2accesstoken \
  --password-stdin https://LOCATION-docker.pkg.dev

Windows

gcloud auth print-access-token \
--impersonate-service-account  ACCOUNT

ya29.8QEQIfY_...

docker login -u oauth2accesstoken -p "ya29.8QEQIfY_..." \
https://LOCATION-docker.pkg.dev

Jika Anda tidak memiliki izin untuk meniru identitas akun layanan, Anda dapat mengaktifkan akun layanan di sesi gcloud CLI Anda, lalu mendapatkan token. Untuk mengetahui detailnya, lihat petunjuk untuk menyiapkan autentikasi token akses.

Menggunakan kunci akun layanan

Untuk kunci akun layanan, Anda menggunakan kunci sebagai sandi dengan perintah docker login.

Misalnya, perintah berikut menggunakan kunci akun layanan yang dienkode base64 dalam file key.json untuk melakukan autentikasi ke us-west1-docker.pkg.dev.

Linux

cat key.json | docker login -u _json_key_base64 --password-stdin \
https://us-west1-docker.pkg.dev

Windows

docker login -u _json_key_base64 --password-stdin https://us-west1-docker.pkg.dev < key.json

Untuk mengetahui detailnya, lihat petunjuk untuk menyiapkan autentikasi kunci akun layanan.

Mengirim gambar

Mode repositori: standar

Untuk mengirim image lokal ke repositori Docker standar, Anda harus memberi tag pada image dengan nama repositori, lalu mengirim image tersebut.

Jika repositori Docker Artifact Registry Anda mengaktifkan keabadian tag, tag harus selalu mereferensikan ringkasan image yang sama di repositori. Anda tidak dapat menggunakan tag pada versi lain dari gambar yang sama yang Anda kirim ke repositori. Untuk mengetahui informasi selengkapnya tentang ringkasan image, tag, dan keabadian tag, lihat Versi image container.

Untuk gambar besar, batasan berikut berlaku:

Waktu upload
Jika Anda mengautentikasi ke Artifact Registry menggunakan token akses, token hanya valid selama 60 menit. Jika Anda memperkirakan waktu upload akan melebihi 60 menit, gunakan metode autentikasi yang berbeda.
Ukuran gambar
Ukuran artefak maksimum adalah 5 TB.
Artifact Registry tidak mendukung upload berchunk Docker. Beberapa alat mendukung upload gambar besar dengan upload yang di-chunk atau upload monolitik tunggal. Anda harus menggunakan upload monolitik untuk mengirim image ke Artifact Registry.

Memberi tag pada gambar lokal

  1. Pastikan Anda diautentikasi ke repositori.

  2. Tentukan nama gambar. Format nama gambar lengkap adalah:

    LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE

    Ganti nilai berikut:

    • LOCATION adalah lokasi regional atau multi-regional repositori tempat image disimpan.
    • PROJECT-ID adalah Google Cloud project ID konsol Anda. Jika project ID Anda berisi titik dua (:), lihat Project cakupan domain.
    • REPOSITORY adalah nama repositori tempat image disimpan.
    • IMAGE adalah nama gambar. Nama ini dapat berbeda dengan nama lokal gambar.

    Misalnya, pertimbangkan gambar dengan karakteristik berikut:

    • Lokasi repositori: us-west1
    • Nama repositori: my-repo
    • Project ID: my-project
    • Nama gambar lokal: my-image
    • Nama gambar target: test-image

    Nama gambar untuk contoh ini adalah:

    us-west1-docker.pkg.dev/my-project/my-repo/test-image

    Untuk mengetahui detail tentang format nama gambar, termasuk penanganan project cakupan domain, lihat Nama repositori dan gambar.

  3. Beri tag pada image lokal dengan nama repositori.

    docker tag SOURCE-IMAGE LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

    Ganti SOURCE-IMAGE dengan nama image lokal atau ID image dan TAG dengan tag. Jika Anda tidak menentukan tag, Docker akan menerapkan tag latest default.

    Jika setelan tag gambar yang tidak dapat diubah diaktifkan, tag harus unik untuk setiap versi gambar, termasuk tag latest. Anda tidak dapat mengirimkan image ke repositori jika tag sudah digunakan oleh versi lain dari image yang sama di repositori. Untuk memverifikasi apakah setelan diaktifkan untuk repositori, jalankan perintah:

    gcloud artifacts repositories describe REPOSITORY \
    --project=PROJECT-ID \
    --location=LOCATION

    Untuk contoh gambar dari langkah sebelumnya, Anda akan menggunakan perintah berikut jika gambar lokal my-image berada di direktori saat ini:

    docker tag my-image us-west1-docker.pkg.dev/my-project/my-repo/test-image

    Jika Anda ingin menerapkan tag tertentu, gunakan perintah:

    docker tag SOURCE-IMAGE LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

    Untuk menggunakan tag staging dengan contoh gambar, Anda menambahkan :staging ke perintah:

    docker tag my-image us-west1-docker.pkg.dev/my-project/my-repo/test-image:staging

Mengirim image yang diberi tag ke Artifact Registry

  1. Pastikan Anda diautentikasi ke repositori.

    Jika Anda menggunakan gcloud auth configure-docker atau docker-credential-gcr configure-docker untuk mengonfigurasi klien Docker, verifikasi bahwa nama host target ada di file konfigurasi Docker Anda.

  2. Kirim image yang diberi tag dengan perintah:

    docker push LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE

    Perintah ini akan mengirimkan image yang memiliki tag latest. Jika Anda ingin mengirim image yang memiliki tag berbeda, gunakan perintah:

    docker push LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

Saat Anda mengirimkan image, image tersebut akan disimpan di repositori yang ditentukan.

Setelah mengirimkan gambar, Anda dapat:

  • Buka Google Cloud console untuk melihat gambar.

  • Jalankan perintah gcloud untuk melihat tag image dan ringkasan yang dibuat secara otomatis:

    gcloud artifacts docker images list \
LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE [--include-tags]

    Contoh output berikut menunjukkan ringkasan gambar yang dipangkas, tetapi perintah selalu menampilkan ringkasan gambar lengkap.

     IMAGE                                                 DIGEST         CREATE_TIME          UPDATE_TIME
  us-west1-docker.pkg.dev/my-project/my-repo/my-image  sha256:85f...  2019-04-10T15:08:45  2019-04-10T15:08:45
  us-west1-docker.pkg.dev/my-project/my-repo/my-image  sha256:238...  2019-04-10T17:23:53  2019-04-10T17:23:53
  us-west1-docker.pkg.dev/my-project/my-repo/my-image  sha256:85f...  2019-04-10T15:08:46  2019-04-10T15:08:46

Mengambil image dengan Docker

Mode repositori: standar, jarak jauh, virtual

  1. Pastikan Anda diautentikasi ke repositori.

    Jika Anda menggunakan gcloud auth configure-docker atau docker-credential-gcr configure-docker untuk mengonfigurasi klien Docker, verifikasi bahwa nama host target ada di file konfigurasi Docker Anda.

  2. Untuk menarik dari repositori, gunakan perintah:

    docker pull LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

    atau

    docker pull LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE@IMAGE-DIGEST

    Ganti nilai berikut:

    • LOCATION adalah lokasi regional atau multi-regional repositori tempat image disimpan.
    • PROJECT adalah Google Cloud project ID konsol Anda. Jika project ID Anda berisi titik dua (:), lihat Project cakupan domain.
    • PROJECT adalah Google Cloud project ID konsol Anda.
    • REPOSITORY adalah nama repositori tempat image disimpan.
    • IMAGE adalah nama image di repositori.
    • TAG adalah tag untuk versi gambar yang ingin Anda tarik.
    • IMAGE-DIGEST adalah nilai hash sha256 dari konten gambar. Setiap versi gambar memiliki ringkasan gambar yang unik. Di Google Cloud konsol, klik gambar tertentu untuk melihat metadatanya. Ringkasan tercantum sebagai Ringkasan gambar.

    Misalnya, pertimbangkan gambar dengan karakteristik berikut:

    • Lokasi repositori: us-west1
    • Nama repositori: my-repo
    • Project ID: my-project
    • Nama image: test-image
    • Tag: staging

    Perintah untuk menarik image adalah:

    docker pull us-west1-docker.pkg.dev/my-project/my-repo/test-image:staging

Docker akan mendownload image yang ditentukan.

Jika Anda meminta image dari repositori jarak jauh, repositori jarak jauh akan mendownload dan menyimpan image dalam cache dari sumber upstream jika salinan yang di-cache tidak ada.

Jika Anda meminta image dari repositori virtual, Artifact Registry akan menelusuri image yang diminta di repositori upstream. Jika Anda meminta versi yang tersedia di lebih dari satu repositori upstream, Artifact Registry akan memilih repositori upstream yang akan digunakan berdasarkan setelan prioritas yang dikonfigurasi untuk repositori virtual.

Misalnya, pertimbangkan repositori virtual dengan setelan prioritas berikut untuk repositori upstream:

  • main-repo: Prioritas ditetapkan ke 100
  • secondary-repo1: Prioritas ditetapkan ke 80.
  • secondary-repo2: Prioritas ditetapkan ke 80.
  • test-repo: Prioritas ditetapkan ke 20.

main-repo memiliki nilai prioritas tertinggi, sehingga repositori virtual selalu menelusurinya terlebih dahulu.

secondary-repo1 dan secondary-repo2 memiliki prioritas yang ditetapkan ke 80. Jika image yang diminta tidak tersedia di main-repo, Artifact Registry akan menelusuri repositori ini berikutnya. Karena keduanya memiliki nilai prioritas yang sama, Artifact Registry dapat memilih untuk menayangkan image dari salah satu repositori jika versi tersebut tersedia di keduanya.

test-repo memiliki nilai prioritas terendah dan akan menayangkan artefak yang disimpan jika tidak ada repositori upstream lain yang memilikinya.

Menarik gambar dengan crictl

crictl adalah alat command line yang berguna bagi developer runtime CRI untuk men-debug runtime mereka tanpa perlu menyiapkan komponen Kubernetes. Jika node Google Kubernetes Engine Anda menggunakan runtime containerd, Anda dapat menarik image dari Artifact Registry menggunakan crictl.

Karena crictl terutama merupakan alat pemecahan masalah, beberapa perintah Docker seperti mendorong atau memberi tag pada image tidak tersedia.

Untuk menarik image dari Artifact Registry:

  1. Di Google Cloud konsol, buka halaman VM Instances.

    Buka Instance VM

  2. SSH ke node yang sedang Anda pecahkan masalahnya.

  3. Dapatkan token akses untuk autentikasi dengan repositori.

    curl -s "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" -H "Metadata-Flavor: Google"

  4. Tarik image menggunakan crictl pull --creds dan nilai access_token

    crictl pull --creds "oauth2accesstoken:ACCESS_TOKEN" LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

    atau

    crictl pull --creds "oauth2accesstoken:ACCESS_TOKEN" LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE@IMAGE-DIGEST

    Outputnya akan terlihat seperti berikut:

    Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5

Langkah berikutnya