Configurer les notifications Pub/Sub

Vous pouvez recevoir des notifications de Pub/Sub pour les modifications apportées à un dépôt Docker. Les notifications s'appliquent à toutes les images de conteneurs stockées dans le dépôt, y compris les charts Helm 3 empaquetés au format OCI.

Pub/Sub publie des messages concernant vos dépôts dans des ressources identifiées appelées sujets. Les applications qui s'abonnent aux sujets Pub/Sub reçoivent ces messages et des notifications lorsque l'état d'un dépôt change.

Artifact Registry publie des messages concernant les modifications suivantes :

• Importations d'image
• Des tags ont été ajoutés aux images
• Suppression d'images

Vous pouvez également configurer des rôles et des autorisations pour publier des notifications ou s'y abonner.

Présentation

Artifact Registry publie des messages concernant les modifications apportées aux dépôts dans un sujet nommé gcr.

Pour recevoir des notifications, vous devez :

1. Créez un sujet nommé gcr dans le projet avec Artifact Registry.
2. Créez un abonnement associé au sujet.
3. Configurez votre application d'abonné pour recevoir des messages concernant les modifications apportées au dépôt.
4. Si nécessaire, configurez les autorisations pour contrôler l'accès à votre sujet et à votre abonnement.

Créer le sujet Artifact Registry

Pour créer le sujet gcr avec des clés de chiffrement appartenant à Google et gérées par Google  :

    gcloud pubsub topics create gcr --project=PROJECT-ID

Pour créer le sujet gcr avec le chiffrement CMEK, consultez les instructions Pub/Sub pour chiffrer les sujets.

Après avoir créé le sujet gcr ou vérifié qu'il existe, vous pouvez créer un abonnement au sujet.

Créer un abonnement

Une fois que vous avez créé un sujet pour les modifications apportées au dépôt, vous pouvez configurer un abonnement à ce sujet qui utilise la distribution push ou la distribution pull. Nous vous recommandons d'utiliser la diffusion par extraction, car les systèmes CI/CD peuvent générer de nombreuses modifications des artefacts stockés. La diffusion par extraction est plus efficace pour un grand volume de messages.

Pour créer un abonnement avec la distribution pull, procédez comme suit :

gcloud pubsub subscriptions create SUBSCRIPTION-NAME --topic=gcr

Vous êtes désormais abonné au sujet gcr. L'étape suivante consiste à configurer les autorisations pour les identités qui déclenchent des modifications dans les dépôts.

Configurer votre application d'abonné

Après avoir créé un sujet et un abonnement à ce sujet, vous pouvez configurer votre application d'abonné, c'est-à-dire l'application qui reçoit les messages concernant les modifications apportées aux dépôts. Les applications abonnées accomplissent des tâches telles que les notifications d'événements, la journalisation système et la communication entre les applications.

Lorsqu'un utilisateur du dépôt transfère ou supprime une image, les étapes suivantes se produisent :

1. Le compte de service Artifact Registry publie la modification dans votre sujet gcr. Le compte de service est service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com, où PROJECT-NUMBER est le Google Cloud numéro de votre projet. Le compte de service Artifact Registry dispose de l'autorisation pubsub.topics.publish par défaut pour pouvoir publier des modifications sur votre sujet.

   Si un administrateur a révoqué les autorisations pubsub.topics.publish pour le compte de service Artifact Registry, Artifact Registry tente de publier le message en tant qu'utilisateur du dépôt. Dans ce cas, le compte de l'utilisateur du dépôt doit disposer de l'autorisation pubsub.topics.publish pour publier le message.

2. Pub/Sub transfère le message du sujet à votre abonnement.

3. Lorsque votre application d'abonnés demande des messages, elle extrait le nouveau message de l'abonnement.

   L'identité qui extrait les messages pour le compte de l'abonné doit disposer des autorisations nécessaires pour accéder à l'abonnement. Vous pouvez utiliser le rôle d'abonné Pub/Sub pour accorder cette autorisation.

Pour en savoir plus sur la configuration d'un abonnement pour recevoir des messages dans le cadre d'un abonnement avec la distribution pull, consultez la page Recevoir des messages en mode pull.

Configurer des autorisations

Vous pouvez utiliser les autorisations Pub/Sub pour contrôler l'accès à vos sujets et abonnements.

Pour en savoir plus sur les autorisations Pub/Sub et sur l'octroi d'accès aux thèmes et aux abonnements, consultez la documentation sur le contrôle des accès de Pub/Sub.

Exemples de notifications

Pub/Sub envoie les notifications sous forme de chaînes au format JSON. Consultez les exemples suivants pour savoir à quoi vous attendre lorsque vous recevez des notifications Artifact Registry de Pub/Sub.

Lorsqu'une image est stockée dans Artifact Registry, le contenu de la notification peut ressembler à ceci :

{
  "action":"INSERT",
  "digest":"us-west1-docker.pkg.dev/my-project/my-repo/hello-world@sha256:6ec128e26cd5..."
}

Lorsqu'un nouveau tag d'image est transféré vers Artifact Registry, la charge utile de notification se présente comme suit :

{
  "action":"INSERT",
  "digest":"us-west1-docker.pkg.dev/my-project/my-repo/hello-world@sha256:6ec128e26cd5...",
  "tag":"us-west1-docker.pkg.dev/my-project/my-repo/hello-world:1.1"
}

Le message identifie l'image pertinente à l'aide d'une clé digest ou tag.

Lorsqu'un tag d'image est supprimé d'Artifact Registry, le contenu de la notification peut ressembler à ceci :

{
  "action":"DELETE",
  "tag":"us-west1-docker.pkg.dev/my-project/my-repo/hello-world:1.1"
}

Le message peut contenir les valeurs DELETE ou INSERT pour la clé action.

Étape suivante

• Consultez la documentation sur Pub/Sub.
• Pour obtenir une présentation détaillée de Pub/Sub, consultez la page Qu'est-ce que Pub/Sub ?.
• Apprenez-en plus sur les rôles de contrôle des accès Pub/Sub.