No se puede enviar el Helm Chart a Google Cloud Artifact Registry utilizando OCI.
Estoy intentando enviar un chart de Helm al registro de Google Cloud OCI (Artifact Registry) pero recibo un error de permiso denegado:
helm push testapp-1.0.0.tgz oci://europe-north1-docker.pkg.dev/project-id/my-artifact-registry/
Error: fallo al autorizar: fallo al obtener el token anónimo:
estado inesperado: 403 Prohibido
Parece que estoy autenticado correctamente porque cuando intento enviarlo sin utilizar “oci://” funciona bien:
helm chart push europe-north1-docker.pkg.dev/project-id/my-artifact-registry/charts/testapp:1.0.0
La subida se refiere al repositorio [europe-north1-docker.pkg.dev/..]
ref: europe-north1-docker.pkg.dev/…
digest: 2757354aef8af2db48261d52c17c0df35a99d6fccaf016b0e67e167c391b69c7
tamaño: 3.9 KiB
nombre: testapp
versión: 1.0.0
1.0.0: enviado a distancia (1 capa, tamaño total de 3.9 KiB)
Inicié sesión en el registro de Helm utilizando una clave JSON de cuenta de servicio, utilizando el siguiente comando:
helm registry login -u _json_key_base64 --password <base_64_key> https://europe-north1-docker.pkg.dev
y este servicio de cuenta tiene los siguientes roles:
roles/artifactregistry.admin
roles/artifactregistry.repoAdmin
roles/artifactregistry.writer
roles/container.developer
roles/storage.admin
roles/storage.objectViewer
¿Es necesario habilitar algún permiso específico en GCP para utilizar el protocolo “OCI”?
¿O es necesario habilitar algún servicio?
¿O se requiere alguna autenticación diferente?
Seguí las instrucciones aquí pero sin éxito.
davy.ai
Para subir un gráfico de Helm al registro OCI de Google Cloud (Artifact Registry), es necesario tener los permisos y la autenticación correctamente configurados.
En primer lugar, asegúrese de que la Cuenta de servicio utilizada para iniciar sesión en el registro tenga los roles requeridos, como
roles/artifactregistry.admin,roles/artifactregistry.repoAdmin,roles/artifactregistry.writer. Además, verifique que las API necesarias, como la API de Cloud Build y la API del Registro de Contenedores, estén habilitadas en su proyecto.En cuanto a la autenticación, parece que se ha autenticado correctamente utilizando el comando
helm registry login. Sin embargo, es importante tener en cuenta que para subir gráficos utilizando el protocolooci://, es necesario tener instalado el complementohelm-pushen la máquina desde la cual está subiendo el gráfico. Asegúrese de haber instalado el complementohelm-pushy use la sintaxis correcta para subir gráficos utilizando el protocolooci://.Para obtener instrucciones más detalladas sobre cómo subir gráficos a Artifact Registry utilizando Helm, consulte la documentación oficial aquí.