O Que É o Google Artifact Registry? Store de Imagens e Pacotes do GCP
O Google Artifact Registry é o store gerenciado do GCP para imagens de container e pacotes de linguagem (npm, Maven, Python e mais), com controle de acesso baseado em IAM.
O Artifact Registry é o sucessor do GCP para o antigo Container Registry. Ele guarda as saídas de build de que seus deploys puxam: imagens Docker para Cloud Run e GKE, além de pacotes específicos de linguagem. O acesso é governado pelo IAM do GCP, então as mesmas identidades que você usa em outros lugares se aplicam aqui também.
Mais do que só containers
Além de imagens Docker e OCI, o Artifact Registry hospeda formatos de pacote npm, Maven, Python e outros. Isso permite que uma equipe mantenha tanto pacotes privados quanto imagens de container em um único lugar governado por IAM.
Repositórios e regiões
Você cria repositórios por formato e região. Manter um repositório na mesma região do seu cluster GKE ou serviço Cloud Run reduz a latência de pull de imagem e acelera os cold starts.
Autenticação
- Roles de IAM controlam quem pode ler e escrever em cada repositório.
- O Docker autentica usando gcloud ou um credential helper.
- Service accounts e Workload Identity Federation cobrem a automação.
Recursos integrados
O Artifact Registry pode escanear imagens em busca de vulnerabilidades, impor tags imutáveis e integrar com o Binary Authorization para exigir que apenas imagens aprovadas façam deploy no GKE. Essas guardas fortalecem a supply chain.
Papel no CI/CD
Um pipeline faz o build de uma imagem, autentica no Artifact Registry, tagga a imagem com o commit SHA e a envia. O passo de deploy então referencia essa tag para Cloud Run ou GKE. O GitHub Actions usa Workload Identity Federation, de modo que nenhuma chave de service account é armazenada nos secrets.
Principais conclusões
- O Artifact Registry armazena imagens de container e pacotes de linguagem no GCP.
- O acesso é governado pelo IAM; mantenha os repos perto do seu compute para cortar a latência de pull.
- Pipelines enviam imagens taggeadas aqui antes de fazer deploy no Cloud Run ou GKE.