如何在Docker文件中从GCP Artifact注册表中安装Python软件包

百变鹏仔 2个月前 (02-05) #Python

文章标签软件包

本文介绍如何使用docker构建镜像，并从gcp artifact registry安装私有python包，避免将敏感的服务帐户密钥直接放入镜像中。

您已开发一个内部使用的Python包，并希望将其发布到GCP Artifact Registry，而不是PyPI。本文提供了一种安全的方案，避免在Docker镜像中直接包含服务帐户密钥文件。

包发布:

使用Poetry发布包到Artifact Registry：

立即学习“Python免费学习笔记（深入）”；

poetry source add --priority=supplemental gcp_registry https://{location}-python.pkg.dev/{repo}/{package}/poetry publish --no-interaction --build --repository gcp_registry

本地安装:

在本地安装包，需要创建一个requirements_private.txt文件：

--index-url https://{location}-python.pkg.dev/{repo}/{package}/simple/--extra-index-url https://pypi.org/simple{your_package_name}

然后执行以下命令安装：

pip install keyringpip install keyrings.google-artifactregistry-authpip install -r /opt/requirements_private.txt

keyring和keyrings.google-artifactregistry-auth包用于处理Artifact Registry的身份验证。请确保已设置应用程序默认凭据(ADC)。

Docker构建:

关键在于使用Docker secrets管理服务帐户密钥，并通过环境变量google_application_credentials指定密钥路径。

Dockerfile示例：

ARG google_application_credentialsCOPY requirements_private.txt /opt/requirements_private.txtRUN --mount=type=secret,id=creds,target=/opt/mykey.json,mode=0444     pip install keyring &&     pip install keyrings.google-artifactregistry-auth &&     pip install -r /opt/requirements_private.txtCOPY requirements.txt /opt/requirements.txtRUN pip install -r /opt/requirements.txt

requirements_private.txt内容同上。您可以使用另一个requirements.txt文件来安装来自PyPI的公共依赖项。

docker-compose.yml示例:

services:  app:    build:      context: .      args:        - google_application_credentials=/opt/mykey.json      secrets:        - credssecrets:  creds:    file: "c:/your/local/host/path/to/google_service_account.json" # 请替换为您的本地密钥文件路径

执行docker compose build构建镜像。此方法将服务帐户密钥安全地存储为Docker secret，并在构建过程中通过环境变量传递给应用程序，从而避免密钥泄露。

文章推荐

如何在Docker文件中从GCP Artifact注册表中安装Python软件包

Python实现字典的key和values的交换

使用Python脚本来获取Cisco设备信息的示例

Python的Django中django-userena组件的简单使用教程

零基础写python爬虫之神器正则表达式

零基础写python爬虫之抓取百度贴吧代码分享