如何在Docker文件中从GCPArtifact注册表中安装Python软件包
本文介绍如何使用docker构建镜像,并从gcp artifact registry安装私有python包,避免将敏感的服务帐户密钥直接放入镜像中。
您已开发一个内部使用的Python包,并希望将其发布到GCP Artifact Registry,而不是PyPI。 本文提供了一种安全的方案,避免在Docker镜像中直接包含服务帐户密钥文件。
包发布:
使用Poetry发布包到Artifact Registry:
poetry source add –priority=supplemental gcp_registry {location}-python.pkg.dev/{repo}/{package}/poetry publish –no-interaction –build –repository gcp_registry
本地安装:
在本地安装包,需要创建一个requirements_private.txt文件:
–index-url {location}-python.pkg.dev/{repo}/{package}/simple/–extra-index-url pypi.org/simple{your_package_name}
然后执行以下命令安装:
pip install keyringpip install keyrings.google-artifactregistry-authpip install -r /opt/requirements_private.txt
keyring和keyrings.google-artifactregistry-auth包用于处理Artifact Registry的身份验证。请确保已设置应用程序默认凭据(ADC)。
Docker构建:
关键在于使用Docker secrets管理服务帐户密钥,并通过环境变量google_application_credentials指定密钥路径。
Dockerfile示例:
ARG google_application_credentialsCOPY requirements_private.txt /opt/requirements_private.txtRUN –mount=type=secret,id=creds,target=/opt/mykey.json,mode=0444 pip install keyring && pip install keyrings.google-artifactregistry-auth && pip install -r /opt/requirements_private.txtCOPY requirements.txt /opt/requirements.txtRUN pip install -r /opt/requirements.txt
requirements_private.txt内容同上。 您可以使用另一个requirements.txt文件来安装来自PyPI的公共依赖项。
docker-pose.yml示例:
services: app: build:context: .args: – google_application_credentials=/opt/mykey.jsonsecrets: – credssecrets: creds: file: "c:/your/local/host/path/to/google_service_account.json" # 请替换为您的本地密钥文件路径
执行docker pose build构建镜像。 此方法将服务帐户密钥安全地存储为Docker secret,并在构建过程中通过环境变量传递给应用程序,从而避免密钥泄露。
以上就是如何在Docker文件中从GCP Artifact注册表中安装Python软件包的详细内容,更多请关注范的资源库其它相关文章!
