Crea un repository remoto Docker Hub

Crea un repository remoto che funga da proxy per Docker Hub.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Secret Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  7. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Secret Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  13. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init
  14. Crea un account Docker Hub.

    15. Ruoli obbligatori

    Per ottenere le autorizzazioni necessarie per creare un repository remoto Docker Hub, chiedi all'amministratore di concederti i seguenti ruoli IAM:

    Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

    Scegliere una shell

    Per completare questa guida rapida, utilizza Cloud Shell o la shell locale.

    Cloud Shell
    Cloud Shell è un ambiente shell per la gestione delle risorse ospitate su Google Cloud. È preinstallato con Docker e Google Cloud CLI, l'interfaccia a riga di comando principale per Google Cloud.
    Shell locale
    Se preferisci utilizzare la shell locale, devi installare Docker e gcloud CLI nel tuo ambiente.

    Avviare Cloud Shell

    Per avviare Cloud Shell, segui questi passaggi:

    1. Vai alla Google Cloud console.

      Google Cloud console

    2. Fai clic sul pulsante Attiva Cloud Shell: .

    Una sessione di Cloud Shell si apre in un frame nella parte inferiore della console. Utilizza questa shell per eseguire i comandi gcloud.

    Configurazione di una shell locale

    Per installare gcloud CLI e Docker, segui questi passaggi:

    1. Installa gcloud CLI. Per aggiornare un'installazione esistente, esegui il comando gcloud components update.

    2. Installa Docker se non è già installato.

    3. Docker richiede l'accesso con privilegi per interagire con i registri. Su Linux o Windows, aggiungi l'utente che utilizzi per eseguire i comandi Docker al gruppo di sicurezza Docker. Questo passaggio non è necessario su macOS poiché Docker Desktop viene eseguito su una macchina virtuale come utente root.

      Linux

      Il gruppo di sicurezza Docker si chiama docker. Per aggiungere il tuo nome utente, esegui questo comando:

      sudo usermod -a -G docker ${USER}

      Windows

      Il gruppo di sicurezza Docker si chiama docker-users. Per aggiungere un utente dal prompt dei comandi di amministratore, esegui questo comando:

      net localgroup docker-users DOMAIN\USERNAME /add

      Dove

      • DOMAIN è il tuo dominio Windows.
      • USERNAME è il tuo nome utente.

    4. Esci e accedi di nuovo per rendere effettive le modifiche all'appartenenza al gruppo. Se utilizzi una macchina virtuale, potrebbe essere necessario riavviarla affinché le modifiche all'abbonamento diventino effettive.

    5. Per assicurarti che Docker sia in esecuzione, esegui questo comando Docker, che restituisce la data e l'ora correnti:

      docker run --rm busybox date

      Il flag --rm elimina l'istanza del container all'uscita.

    Configura l'autenticazione di Docker Hub

    Per impedire l'utilizzo della quota Docker Hub non autenticata, ti consigliamo di eseguire l'autenticazione in Docker Hub quando utilizzi repository remoti. I repository remoti ti consentono di aggiungere il tuo nome utente Docker Hub e un token di accesso personale salvato come secret per l'autenticazione in Docker Hub.

    Crea un token di accesso personale Docker Hub

    1. Accedi a Docker Hub.
    2. Crea un token di accesso personale con autorizzazioni di sola lettura.

    3. Copia il token di accesso.

    4. Salva il token di accesso in un file di testo in locale o in Cloud Shell.

    Salva il token di accesso personale in un secret

    console

    1. Vai alla pagina Secret Manager nella console Google Cloud .

      Vai alla pagina Secret Manager

    2. Nella pagina Secret Manager, fai clic su Crea secret.

    3. Nella pagina Crea secret, in Nome, assegna al secret il nome my-secret.

    4. Nel campo Valore secret, inserisci il token di accesso personale di Docker Hub.

    5. Lascia invariata la sezione Regioni.

    6. Fai clic sul pulsante Crea secret.

    Interfaccia a riga di comando gcloud 

    gcloud secrets create my-secret --data-file="/path/to/file.txt"

    dove /path/to/file.txt è la posizione del file di testo con il tuo token di accesso personale.

    Concedi all'account di servizio Artifact Registry l'accesso al tuo secret

    console

    1. Vai alla pagina Secret Manager nella console Google Cloud .

      Vai alla pagina Secret Manager

    2. Nella pagina Secret Manager, fai clic sulla casella di controllo accanto a my-secret.

    3. Se non è già aperto, fai clic su Mostra riquadro informazioni per aprirlo.

    4. Nel riquadro informazioni, fai clic su Aggiungi entità.

    5. Nell'area di testo Nuove entità, inserisci l'indirizzo email del account di servizio Artifact Registry. L'indirizzo email del account di servizio Artifact Registry è formattato nel seguente modo

      service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com

      Dove PROJECT-NUMBER è il numero di progetto.

      Per trovare il numero di progetto:

      • Vai alla pagina Dashboard nella console Google Cloud .

        Vai alla pagina Dashboard

      • Fai clic sull'elenco a discesa Seleziona da nella parte superiore della pagina.

      • Nella finestra Seleziona da visualizzata, seleziona il tuo progetto.

        L'ID e il numero del progetto vengono visualizzati nella scheda Informazioni sul progetto della dashboard del progetto.

    6. Nel menu a discesa Seleziona un ruolo, scegli Secret Manager e poi Secret Manager Secret Accessor.

    Interfaccia a riga di comando gcloud 

    gcloud secrets add-iam-policy-binding my-secret \
    --member="serviceAccount:service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com" \
    --role="roles/secretmanager.secretAccessor"

    Dove PROJECT-NUMBER è il numero di progetto.

    Per trovare il numero di progetto:

    • Vai alla pagina Dashboard nella console Google Cloud .

      Vai alla pagina Dashboard

    • Fai clic sull'elenco a discesa Seleziona da nella parte superiore della pagina.

    • Nella finestra Seleziona da visualizzata, seleziona il tuo progetto.

      L'ID e il numero del progetto vengono visualizzati nella scheda Informazioni sul progetto della dashboard del progetto.

    Crea un repository remoto

    Crea un repository remoto Artifact Registry denominato quickstart-docker-hub-remote nella località us-central1 con le tue credenziali Docker Hub eseguendo il seguente comando:

    gcloud artifacts repositories create quickstart-docker-hub-remote \
    --project=PROJECT_ID \
    --repository-format=DOCKER  \
    --location=us-central1 \
    --description="Remote Docker repository" \
    --mode=remote-repository \
    --remote-repo-config-desc="Docker Hub" \
    --remote-docker-repo=DOCKER-HUB \
    --remote-username=USERNAME \
    --remote-password-secret-version=projects/PROJECT/secrets/my-secret/versions/1

    Dove:

    • quickstart-docker-hub-remote è il nome del repository. Per ogni posizione del repository in un progetto, i nomi dei repository devono essere univoci.
    • PROJECT_ID è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto corrente o predefinito.
    • us-central1 è la posizione regionale o multiregionale del repository. Puoi omettere questo flag se imposti un valore predefinito. Per visualizzare un elenco delle località supportate, esegui il comando gcloud artifacts locations list.
    • "Remote Docker repository" è la descrizione facoltativa del repository. Non includere dati sensibili, poiché le descrizioni dei repository non sono crittografate.
    • "Docker Hub" è la descrizione facoltativa per la configurazione del repository esterno per questo repository remoto.
    • DOCKER-HUB imposta il repository remoto a monte sul repository Docker Hub pubblico.
    • USERNAME è il tuo nome utente Docker Hub.
    • projects/PROJECT/secrets/my-secret/versions/1 è la versione del secret che hai creato per archiviare il token di accesso personale di Docker Hub.

    Artifact Registry crea il repository e lo aggiunge all'elenco dei repository.

    Configura l'autenticazione Docker

    Prima di eseguire il push o il pull delle immagini, configura Docker in modo che utilizzi Google Cloud CLI per autenticare le richieste ad Artifact Registry.

    1. Accedi a gcloud CLI come utente che eseguirà i comandi Docker.

      gcloud auth login

    2. Per configurare l'autenticazione nei repository Docker nella regione us-central1, esegui questo comando:

      gcloud auth configure-docker us-central1-docker.pkg.dev

      Il comando aggiorna la configurazione Docker. Ora puoi connetterti con Artifact Registry nel tuo progetto Google Cloud per eseguire il push e il pull delle immagini.

    Per informazioni su altri metodi di autenticazione, vedi Metodi di autenticazione.

    Eseguire il pull di un'immagine nel repository remoto

    1. Accedi a gcloud CLI come utente che eseguirà i comandi Docker.

      gcloud auth login

    2. Esegui il pull di un'immagine da Docker Hub sulla tua macchina e nel tuo repository remoto con questo comando:

      docker pull us-central1-docker.pkg.dev/PROJECT/quickstart-docker-hub-remote/busybox:latest

      Dove:

      • us-central1 è la posizione del repository remoto.
      • us-central1-docker.pkg.dev è il nome host del repository Docker che hai creato.
      • PROJECT è il tuo Google Cloud ID progetto. Se l'ID progetto contiene due punti (:), consulta Progetti basati sul dominio.
      • quickstart-docker-hub-remote è l'ID del repository che hai creato.
      • busybox è il nome dell'immagine di cui vuoi eseguire il pull da Docker Hub in quickstart-docker-hub-remote.
      • latest è la versione dell'immagine con tag di cui vuoi eseguire il pull da Docker Hub.

      L'immagine viene estratta sulla tua macchina e memorizzata nella cache nel repository remoto. Se estrai di nuovo la stessa immagine con tag, verrà estratta dal repository remoto. Vengono utilizzate le tue credenziali Docker Hub.

    3. Elenca gli artefatti archiviati nel repository remoto:

      gcloud artifacts packages list \
    --location=us-central1 \
    --repository=quickstart-docker-hub-remote

      L'output è simile al seguente:

      Listing items under project my-project, location us-central1, repository quickstart-docker-hub-remote.

PACKAGE: busybox
CREATE_TIME: 2023-06-19T18:59:09
UPDATE_TIME: 2023-06-19T18:59:10

    Esegui la pulizia

    Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

    Eliminare il repository

    Se vuoi conservare il progetto ed eliminare solo la risorsa repository, segui i passaggi descritti in questa sezione. Se vuoi eliminare l'intero progetto, segui i passaggi descritti in Eliminare il progetto.

    Prima di rimuovere il repository, assicurati che tutte le immagini che vuoi conservare siano disponibili in un'altra posizione.

    Per eliminare il repository:

    Console

    1. Apri la pagina Repository nella console Google Cloud .

      Apri la pagina Repositori

    2. Nell'elenco dei repository, seleziona il repository quickstart-docker-hub-remote.

    3. Fai clic su Elimina.

    gcloud

    Per eliminare il repository quickstart-docker-hub-remote, esegui questo comando:

    gcloud artifacts repositories delete quickstart-docker-hub-remote \
    --location=us-central1

    Elimina il progetto

    1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    2. In the project list, select the project that you want to delete, and then click Delete.
    3. In the dialog, type the project ID, and then click Shut down to delete the project.

    Passaggi successivi