您可以透過 Pub/Sub 接收 Docker 存放區的變更通知。通知適用於存放區中儲存的任何容器映像檔,包括以 OCI 格式封裝的 Helm 3 資訊套件。
Pub/Sub 會將存放區的相關訊息發布到稱為「主題」的具名資源。訂閱 Pub/Sub 主題的應用程式會收到這些訊息,並在存放區的狀態變更時收到通知。
Artifact Registry 會針對下列變更發布訊息:
- 上傳圖片
- 圖片新增標記
- 刪除圖片
此外,您也可以設定發布或訂閱通知的角色和權限。
如要瞭解如何設定 Artifact Analysis 通知,以便接收新安全漏洞掃描結果等活動的通知,請參閱 Artifact Analysis 說明文件。總覽
Artifact Registry 會將存放區異動的相關訊息發布到名為 gcr 的主題。
如要接收通知,請務必:
- 在 Artifact Registry 專案中建立名為
gcr的主題。 - 建立主題的訂閱項目。
- 設定訂閱者應用程式,接收存放區變更的相關訊息。
- 視需要設定權限,控管主題和訂閱項目的存取權。
建立 Artifact Registry 主題
如要使用 Google 擁有及代管的 加密金鑰建立 gcr 主題,請按照下列步驟操作:
控制台
前往 Google Cloud 控制台的 Pub/Sub 主題頁面。
按一下 [Create Topic] (建立主題)。
輸入主題 ID
gcr。按一下 [Create Topic] (建立主題)。
gcloud
執行下列指令:
gcloud pubsub topics create gcr --project=PROJECT-ID
將 PROJECT-ID 替換為 Google Cloud
專案 ID。如果省略 --project 旗標,指令會使用目前的專案。
如要進一步瞭解 gcloud pubsub topics 指令,請參閱topics 說明文件。
如要建立採用 CMEK 加密的 gcr 主題,請參閱 Pub/Sub 的主題加密操作說明。
建立 gcr 主題或確認主題存在後,即可建立該主題的訂閱項目。
建立訂閱項目
為存放區變更建立主題後,您可以設定訂閱項目,使用推送傳送或提取傳送。我們建議使用提取傳送,因為 CI/CD 系統可能會對儲存的構件產生大量變更,而提取傳送更適合大量訊息。
如要建立提取式傳送訂閱項目,請按照下列步驟操作:
控制台
前往 Google Cloud 控制台的 Pub/Sub 主題頁面。
按一下專案的主題。
按一下 [Create Subscription] (建立訂閱)。
輸入訂閱名稱:
projects/PROJECT/subscriptions/[SUBSCRIPTION-NAME]將「傳送類型」保留設定為「提取」。
按一下 [Create] (建立)。
gcloud
執行下列指令:
gcloud pubsub subscriptions create SUBSCRIPTION-NAME --topic=gcr
將 SUBSCRIPTION-NAME 替換為訂閱項的名稱
如要進一步瞭解 gcloud pubsub subscriptions 指令,請參閱subscriptions 說明文件。
你現在已訂閱「gcr」主題。下一步是為觸發存放區變更的身分設定權限。
設定訂閱者應用程式
建立主題並訂閱該主題後,即可設定訂閱者應用程式,也就是接收存放區變更訊息的應用程式。訂閱者應用程式完成的工作包含事件通知、系統記錄和應用程式間的通訊等。
當存放區使用者推送或刪除映像檔時,會發生下列步驟:
Artifact Registry 服務帳戶會將變更發布至
gcr主題。服務帳戶為 service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com,其中 PROJECT-NUMBER 是 Google Cloud 專案編號。根據預設,Artifact Registry 服務帳戶具有pubsub.topics.publish權限,因此可以將變更發布至主題。如果管理員已撤銷 Artifact Registry 服務帳戶的
pubsub.topics.publish權限,Artifact Registry 會嘗試以存放區使用者的身分發布訊息。在這種情況下,存放區使用者的帳戶必須具備「pubsub.topics.publish」權限,才能成功發布訊息。Pub/Sub 會將主題中的訊息轉送至您的訂閱項目。
訂閱者應用程式要求訊息時,會從訂閱項目中提取新訊息。
如要瞭解如何設定訂閱者,透過提取傳送機制接收訂閱項目的訊息,請參閱「利用提取功能接收訊息」。
設定權限
您可以使用 Pub/Sub 權限控管主題和訂閱項目的存取權。
如要進一步瞭解 Pub/Sub 權限,以及如何授予主題和訂閱項目的存取權,請參閱 Pub/Sub 存取權控管說明文件。
通知範例
Pub/Sub 會以 JSON 格式的字串傳送通知。請參閱下列範例,瞭解透過 Pub/Sub 接收 Artifact Registry 通知時會看到哪些內容。
將映像檔推送至 Artifact Registry 時,通知酬載看起來會如下所示:
{
"action":"INSERT",
"digest":"us-west1-docker.pkg.dev/my-project/my-repo/hello-world@sha256:6ec128e26cd5..."
}
將新的映像檔標記推送至 Artifact Registry 時,通知酬載看起來會如下所示:
{
"action":"INSERT",
"digest":"us-west1-docker.pkg.dev/my-project/my-repo/hello-world@sha256:6ec128e26cd5...",
"tag":"us-west1-docker.pkg.dev/my-project/my-repo/hello-world:1.1"
}
訊息可使用 digest 或 tag 鍵來識別相關的映像檔。
從 Artifact Registry 刪除映像檔標記時,通知酬載看起來會如下所示:
{
"action":"DELETE",
"tag":"us-west1-docker.pkg.dev/my-project/my-repo/hello-world:1.1"
}
訊息可能包含 DELETE 或 INSERT 以做為 action 鍵的值。
後續步驟
- 參閱 Pub/Sub 說明文件。
- 如要深入瞭解 Pub/Sub,請參閱什麼是 Pub/Sub?
- 進一步瞭解 Pub/Sub 存取權控管角色。