Configurare l'autenticazione per Docker  | Documentazione del registro degli artefatti  | Google Cloud (2023)

Questa pagina descrive come configurare Docker per l'autenticazione nei repository Artifact RegistryDocker.

Non è necessario configurare l'autenticazione per gli ambienti Cloud Build o Google Cloudruntime come Google Kubernetes Engine e Cloud Run, ma è necessario verificare che i requisiti richiestiautorizzazionisono configurati.

Prima di iniziare

1. Installarel'interfaccia a riga di comando di Google Cloud, quindiinizializzareeseguendo il seguente comando:

   inizializzazione di gcloud

2. (Opzionale)Configura le impostazioni predefinite per i comandi gcloud.
3. Verifica che l'account che stai utilizzando per l'autenticazione abbiaautorizzazioniper accedere a Artifact Registry. Si consiglia di utilizzare aconto di servizioanziché un account utente.
4. Installa Dockerse non è già installato. Docker è incluso in Cloud Shell.

5. Docker richiede l'accesso con privilegi per interagire con i registri. Su Linux o Windows, aggiungi l'utente che usi per eseguire i comandi Docker al gruppo di sicurezza Docker. Da allora questo passaggio non è richiesto su MacOSDocker Desktopviene eseguito su una macchina virtuale come utente root.

   Linux

   Viene chiamato il gruppo di sicurezza Dockerdocker.Per aggiungere il tuo nome utente, esegui il seguente comando:

   sudo usermod -a -G finestra mobile ${USER}

   finestre

   Viene chiamato il gruppo di sicurezza Dockerutenti docker.Per aggiungere un utente dal prompt dei comandi dell'amministratore, eseguire il seguente comando:

   net localgroup docker-utentiDOMINIO\NOME UTENTE/aggiungere

   Dove

   • DOMINIOè il tuo dominio Windows.
   • NOME UTENTEè il tuo nome utente.

   Disconnettersi e riconnettersi per rendere effettive le modifiche all'appartenenza al gruppo. Se si utilizza una macchina virtuale, potrebbe essere necessario riavviare la macchina virtuale affinché le modifiche all'appartenenza abbiano effetto.

Scelta di un metodo di autenticazione

Sono disponibili i seguenti metodi di autenticazione:

assistente credenziali gcloud

Configura le tue credenziali Artifact Registry per l'utilizzo con Docker direttamente in gcloud. Questo è il metodo di autenticazione più semplice, ma può essere più lento dell'assistente credenziali autonomo.

Assistente per le credenziali Docker autonomo

Questa opzione serve principalmente per configurare le tue credenziali per l'utilizzo con Docker in assenza dell'interfaccia a riga di comando di Google Cloud. È significativamente più veloce dell'helper e degli usi di gcloudcredentialCredenziali predefinite dell'applicazione(ADC) per trovare automaticamente le credenziali nel tuo ambiente.

Token di accesso

Puoi generare un token di accesso di breve durata per un account di servizio e quindi utilizzare il token per l'autenticazione della password. Poiché il token è valido solo per 60 minuti, è un'opzione più sicura rispetto a una chiave dell'account di servizio.

Chiave dell'account di servizio

Una coppia di chiavi gestita dall'utente che puoi utilizzare come credenziale per un account di servizio. Poiché la credenziale è di lunga durata, è l'opzione meno sicura di tutti i metodi di autenticazione disponibili.

Quando possibile, usa untoken di accessoo un assistente per le credenziali per ridurre il rischio di accesso non autorizzato alle immagini del contenitore. Se devi utilizzare una chiave dell'account di servizio, assicurati di seguirlabest practice per la gestione delle credenziali.

Impostazioni di autenticazione nel file di configurazione di Docker

Docker salva le impostazioni di autenticazione nel file di configurazioneconfig.json.

• Linux:~/.docker/config.json
• Finestre:%USERPROFILE%\.docker\config.json

Ci sono sezioni separate nel file per diversi metodi di autenticazione:

credHelpers

Se utilizzi l'assistente per le credenziali Docker per l'autenticazioneArtifact Registry memorizza le impostazioni dell'assistente per le credenziali nelcredHelperssezione del file.

auth

Se utilizzi Docker per accedere con un token o una chiave dell'account di servizio come password, Docker memorizza una versione con codifica base64 delle tue credenziali nelauthsezione del file.

credStore

Se hai configurato un filearchivio di credenzialiper gestire le tue credenziali, le impostazioni per l'archivio delle credenziali si trovano nel filecredStoresezione del file.

Quando Docker si connette a un registro, verifica innanzitutto la presenza di un assistente credenziali associato all'host. Quindi se il tuoconfig.jsonincludesArtifact Registry impostazioni in entrambi i filecredHelpersEauthsezioni, le impostazioni inauthsezione vengono ignorate.

assistente credenziali gcloud

L'assistente per le credenziali gcloud fornisce un accesso sicuro e di breve durata alle risorse del tuo progetto. Configura Docker per l'autenticazione agli host di Artifact Registry in qualsiasi ambiente in cui il fileinterfaccia a riga di comando di Google Cloudè installato.Guscio Nuvolosoinclude l'interfaccia a riga di comando di Google Cloud e una versione corrente di Docker.

L'assistente per le credenziali gcloud è il metodo di autenticazione più semplice da configurare. Configura Docker con le credenziali dell'utente attivo o dell'account di servizio nella sessione gcloud. Poiché questo assistente credenziali dipende dalla CLI ongcloud, può essere significativamente più lento delassistente per le credenziali autonomo. Per le build automatizzate con strumenti di terze parti o client Docker con un numero elevato di host di registro configurati, utilizzare invece l'assistente per le credenziali autonomo.

Per eseguire l'autenticazione in Artifact Registry:

1. Accedi a gcloud CLI come utente che eseguirà i comandi Docker.

   • Per configurare l'autenticazione con le credenziali utente, eseguire il seguente comando:

     accesso autenticazione gcloud

   • Per configurare l'autenticazione con le credenziali dell'account di servizio, eseguire il seguente comando:

     See Also

     Distribuzione dei container Docker su ECSDocker draaien op AWS EC2

     account di servizio di attivazione di autenticazione gcloudACCOUNT--file-chiave=ARCHIVIO CHIAVE

     Dove

     • ACCOUNTè l'account di servizio che desideri utilizzare conArtifact Registry nel formatoNOME UTENTE@ID PROGETTO.iam.gserviceaccount.com.Se desideri utilizzare un account esistente, puoi visualizzare un elenco di account di servizio suConti di serviziopagina della console di Google Cloud o con il comandoelenco degli account di servizio gcloud iam
     • ARCHIVIO CHIAVEè il file della chiave dell'account di servizio. Vedi ilDocumentazione IAM (Identity and Access Management).per informazioni sulla creazione di una chiave.

2. Esegui il seguente comando:

   finestra mobile di configurazione dell'autenticazione gcloudELENCO NOMI HOST

   DoveELENCO NOMI HOSTè un elenco separato da virgole di repositoryhostnames da aggiungere alla configurazione dell'assistente credenziali.

   Ad esempio, per aggiungere le regionius-central1Easia-nordest1, eseguire il comando:

   gcloud auth configure-docker us-central1-docker.pkg.dev,asia-northeast1-docker.pkg.dev

   I nomi host specificati vengono aggiunti alla configurazione dell'assistente credenziali. È possibile aggiungere altri nomi host alla configurazione in un secondo momento eseguendo nuovamente il comando.

   Per visualizzare un elenco di percorsi di repository supportati, eseguire il comando:

   elenco delle posizioni degli artefatti gcloud

3. Il comando visualizza ilcredHelperssezione della configurazione Docker corrente e della configurazione aggiornata dopo aver aggiunto i nomi host specificati.

   Per accettare le modifiche alla configurazione, inseriscisi.

   Le tue credenziali vengono salvate nella home directory dell'utente.

   • Linux:$HOME/.docker/config.json
   • Finestre:%USERPROFILE%/.docker/config.json

4. Docker richiede che gli helper delle credenziali siano nel sistemaSENTIERO. Assicurarsi che ilgcloudcomando è nel sistemaSENTIERO.

Assistente per le credenziali autonomo

L'assistente per le credenziali Docker autonomo configura Docker per l'autenticazione in Artifact Registry su un sistema in cui l'interfaccia a riga di comando di gcloud non è disponibile.assistente credenziali gcloude usiCredenziali predefinite dell'applicazione(ADC) per trovare automaticamente le credenziali nel tuo ambiente. Per operazioni diverse dal push and pull delle immagini, come l'etichettatura o l'elenco delle immagini. Si consiglia di utilizzare questo metodo di autenticazione per build automatizzate con strumenti di terze parti o client Docker con un numero elevato di host del registro configurati.

L'helper per le credenziali Docker autonomo recupera le credenziali di Artifact Registry e le scrive nel file di configurazione di Docker. In questo modo, puoi utilizzare lo strumento da riga di comando Docker,docker, per interagire direttamente conArtifact Registry.

Per utilizzare l'assistente credenziali Docker:

1. Accedere al computer come utente che eseguirà i comandi Docker.

2. Scarica l'assistente per le credenziali Docker autonomo daGit Hub.

   Puoi facoltativamente utilizzare ilarricciareutilità della riga di comando. Per esempio:

   VERSION=2.1.8OS=linux # o "darwin" per OSX, "windows" per Windows.ARCH=amd64 # o "386" per OSscurl -fsSL a 32 bit "https://github.com/GoogleCloudPlatform/docker-credential -gcr/releases/download/v${VERSION}/docker-credential-gcr_${OS}_${ARCH}-${VERSION}.tar.gz" \| tar xz docker-credential-gcr \&& chmod +x docker-credential-gcr && sudo mv docker-credential-gcr /usr/bin/

3. Configura Docker in modo che utilizzi le tue credenziali Artifact Registry quando interagisci con Artifact Registry (ti viene richiesto di farlo solo una volta):

   docker-credential-gcr configure-docker --registries=ELENCO NOMI HOST

   DoveELENCO NOMI HOSTè un elenco separato da virgole di repositoryhostnames da aggiungere alla configurazione dell'assistente credenziali.

   Ad esempio, per aggiungere le regionius-central1Easia-nordest1, eseguire il comando:

   docker-credential-gcr configure-docker --registries=us-central1-docker.pkg.dev,asia-northeast1-docker.pkg.dev

   I nomi host specificati vengono aggiunti alla configurazione dell'assistente credenziali. È possibile aggiungere altri nomi host alla configurazione in un secondo momento eseguendo nuovamente il comando.

   Per visualizzare un elenco di percorsi di repository supportati, eseguire il comando:

   elenco delle posizioni degli artefatti gcloud

   Vedi ildocumentazione autonoma dell'helper per le credenziali Dockersu GitHub per ulteriori informazioni.

   Le tue credenziali vengono salvate nella home directory dell'utente.

   • Linux:$HOME/.docker/config.json
   • Finestre:%USERPROFILE%/.docker/config.json

4. Docker richiede che gli helper delle credenziali siano nel sistemaSENTIERO. Assicurarsi che ildocker-credenziali-gcrcomando è nel sistemaSENTIERO.

5. Per verificare che l'assistente credenziali possa recuperare correttamente le tue credenziali, esegui il seguente comando:

   echo "https://NOME HOST" | docker-credential-gcr get

   SostituireNOME HOSTcon un nome host che hai aggiunto alla configurazione. Per esempio:

   echo "https://us-central1-docker.pkg.dev" | docker-credenziali-gcr get

   Se il comando ha esito positivo, l'output JSON restituito include un token nel fileSegretocampo. Per esempio:

   {"ServerURL":"https://us-central1-docker.pkg.dev","Username":"_dcgcr_2_0_0_token","Secret":"ya29..."}

Docker è ora configurato per l'autenticazione con Artifact Registry. Per spingere e tirare le immagini, assicurati cheautorizzazionisono configurati correttamente.

Token di accesso

Puoi generare un token di accesso OAuth di breve durata per l'autenticazione con Artifact Registry. Poiché il token è valido per 60 minuti, dovresti richiederlo meno di un'ora prima di utilizzarlo per connetterti con Artifact Registry.

Per utilizzare un token di accesso con le credenziali dell'account di servizio:

1. Creareun account di servizio per agire per conto della tua applicazione o scegli un account di servizio esistente che utilizzi per l'automazione.

   Sarà necessario il percorso del file della chiave dell'account di servizio per impostare l'autenticazione con Artifact Registry. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.

   Vai alla pagina Account di servizio

2. Concessioneil ruolo Artifact Registry appropriato all'account di servizio che desideri utilizzare conArtifact Registry.

3. Genera un token di accesso per l'account di servizio ed esegui l'autenticazione utilizzando una delle seguenti opzioni:

   • Se disponi delle autorizzazioni nel ruolo Service Account Token Creator (ruoli/iam.serviceAccountTokenCreator), puoiimpersonareun account di servizio, per ottenere un relativo token e quindi eseguire l'autenticazione come account di servizio.

     Esegui il comando seguente, sostituendoACCOUNTcon l'indirizzo email del tuo account di servizio ePOSIZIONEregionale o multiregionaleposizionedel deposito.

     Linux

     gcloud auth print-access-token \ --impersonate-service-accountACCOUNT| finestra mobile login \ -u oauth2accesstoken \ --password-stdin https://POSIZIONE-docker.pkg.dev

     finestre

     gcloud auth print-access-token --impersonate-service-accountACCOUNT| finestra mobile login -u oauth2accesstoken --password-stdin https://POSIZIONE-docker.pkg.dev

   • Attiva un account di servizio nella tua sessione gcloud e poi ottieni un token di accesso.

     1. Attiva l'account di servizio che desideri utilizzare. SostituireACCOUNTcon l'indirizzo email del tuo account di servizio eARCHIVIO CHIAVEcon il nome file della chiave dell'account di servizio.

        account di servizio di attivazione di autenticazione gcloudACCOUNT\ --file-chiave=ARCHIVIO CHIAVE

     2. Genera un token e autenticati.

        Esegui il comando seguente, sostituendoPOSIZIONEregionale o multiregionaleposizionedel deposito.

        Linux

        gcloud auth print-access-token | finestra mobile login -u oauth2accesstoken \ --password-stdin https://POSIZIONE-docker.pkg.dev

        finestre

        gcloud auth print-access-token | finestra mobile login -u oauth2accesstoken --password-stdin https://POSIZIONE-docker.pkg.dev

Docker è ora autenticato con Artifact Registry.

Chiave dell'account di servizio

Una chiave dell'account di servizio è una coppia di chiavi di lunga durata che puoi utilizzare come credenziale per un account di servizio. A differenza del token di accesso OAuth, una chiave dell'account di servizio non scade. Sei responsabile della sicurezza della chiave privata e di altre operazioni di gestione delle chiavi, come la rotazione delle chiavi.

Chiunque abbia accesso a una chiave privata valida per un account di servizio sarà in grado di accedere alle risorse tramite l'account di servizio. Si noti che il ciclo di vita dell'accesso della chiave all'account di servizio (e quindi i dati a cui ha accesso l'account di servizio) è indipendente dal ciclo di vita dell'utente che ha scaricato la chiave.

Utilizzare le seguenti linee guida per limitare l'accesso ai repository:

• Crea account di servizio dedicati che vengono utilizzati solo per interagire con i repository.
• Concedi lo specificoRuolo del registro degli artefattiper l'accesso richiesto dall'account di servizio. Ad esempio, un account di servizio che scarica solo artifact richiede solo il ruolo Artifact Registry Reader.
• Configura le autorizzazioni per i tuoi account di servizio dedicati su ciascun repository piuttosto che a livello di progetto. È quindi possibile specificare l'accesso in base al contesto del repository. Ad esempio, un account di servizio per le build di sviluppo potrebbe avere il ruolo Artifact Registry Reader per un repository di produzione e il ruolo Artifact Registry Writer per un repository di staging.
• Seguirebest practice per la gestione delle credenziali.

Per creare un nuovo account di servizio e una chiave dell'account di servizio da utilizzare solo con i repository di Artifact Registry:

1. Creareun account di servizio per agire per conto della tua applicazione o scegli un account di servizio esistente che utilizzi per l'automazione.

   Sarà necessario il percorso del file della chiave dell'account di servizio per impostare l'autenticazione con Artifact Registry. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.

   Vai alla pagina Account di servizio

2. Facoltativamente, puoi codificare in base64 tutti i contenuti del file chiave.

   Linux

   fondo64NOME DEL FILE>NUOVO-NOME-FILE

   Mac OS

   base64 -iNOME DEL FILE-oNUOVO-NOME-FILE

   finestre

   Base64.exe -eNOME DEL FILE>NUOVO-NOME-FILE

   DoveNOME DEL FILEè il nome del file chiave originale eNUOVO-NOME-FILEè il tuo file chiave con codifica Base64.

3. Verificaloautorizzazionisono configurati correttamente per l'account di servizio. Se utilizzi l'account di servizio Compute Engine, devi configurare correttamente sia le autorizzazioni che gli ambiti di accesso.

4. Utilizza la chiave dell'account di servizio per configurare l'integrazione con Docker:

   Esegui il seguente comando:

   Linux/macOS

   gattoARCHIVIO CHIAVE| accesso alla finestra mobile -uTIPO CHIAVE--password-stdin \https://POSIZIONE-docker.pkg.dev

   finestre

   Ottieni contenutoARCHIVIO CHIAVE|accesso alla finestra mobile -uTIPO CHIAVE--password-stdin https://POSIZIONE-docker.pkg.dev

   Sostituire quanto segue:

   • TIPO CHIAVEè uno dei seguenti:
     • _json_keyse stai utilizzando la chiave dell'account di servizio in formato JSON come è stata fornita quando hai creato il file.
     • _json_key_base64se hai codificato in base64 tutti i contenuti del file.
   • ARCHIVIO CHIAVEè il nome del file della chiave dell'account di servizio in formato JSON.
   • POSIZIONEè regionale o multiregionaleposizionedel repository in cui è archiviata l'immagine.

Docker è ora autenticato con Artifact Registry.