Skip to content
Latchkey

O Que É o Google Artifact Registry? Store de Imagens e Pacotes do GCP

O Google Artifact Registry é o store gerenciado do GCP para imagens de container e pacotes de linguagem (npm, Maven, Python e mais), com controle de acesso baseado em IAM.

O Artifact Registry é o sucessor do GCP para o antigo Container Registry. Ele guarda as saídas de build de que seus deploys puxam: imagens Docker para Cloud Run e GKE, além de pacotes específicos de linguagem. O acesso é governado pelo IAM do GCP, então as mesmas identidades que você usa em outros lugares se aplicam aqui também.

Mais do que só containers

Além de imagens Docker e OCI, o Artifact Registry hospeda formatos de pacote npm, Maven, Python e outros. Isso permite que uma equipe mantenha tanto pacotes privados quanto imagens de container em um único lugar governado por IAM.

Repositórios e regiões

Você cria repositórios por formato e região. Manter um repositório na mesma região do seu cluster GKE ou serviço Cloud Run reduz a latência de pull de imagem e acelera os cold starts.

Autenticação

  • Roles de IAM controlam quem pode ler e escrever em cada repositório.
  • O Docker autentica usando gcloud ou um credential helper.
  • Service accounts e Workload Identity Federation cobrem a automação.

Recursos integrados

O Artifact Registry pode escanear imagens em busca de vulnerabilidades, impor tags imutáveis e integrar com o Binary Authorization para exigir que apenas imagens aprovadas façam deploy no GKE. Essas guardas fortalecem a supply chain.

Papel no CI/CD

Um pipeline faz o build de uma imagem, autentica no Artifact Registry, tagga a imagem com o commit SHA e a envia. O passo de deploy então referencia essa tag para Cloud Run ou GKE. O GitHub Actions usa Workload Identity Federation, de modo que nenhuma chave de service account é armazenada nos secrets.

Principais conclusões

  • O Artifact Registry armazena imagens de container e pacotes de linguagem no GCP.
  • O acesso é governado pelo IAM; mantenha os repos perto do seu compute para cortar a latência de pull.
  • Pipelines enviam imagens taggeadas aqui antes de fazer deploy no Cloud Run ou GKE.

Guias relacionados