2025/2/2 uv + Artifact Registry で publish & install

まとめると

Artifact Registry への publish

手元 → Artifact Registry

gcloud の認証情報使う

code:pyproject.toml

tool.uv.index

name = 'artifactregistry'

$ uv publish --index=artifactregistry --username=oauth2accesstoken --password=$(gcloud auth print-access-token)

Cloud Build でビルド → Artifact Registry への publish

$ uv tool install keyring --with keyrings.google-artifactregistry-auth

code:pyproject.toml

...

keyring-provider = "subprocess" # UV_KEYRING_PROVIDER 環境変数でなくこっちに書ける

poku-mod-a = { index = "artifactregistry" } # モジュール単位で artifactregistry を index に指定

poku-mod-b = { index = "artifactregistry" }

tool.uv.index

name = 'artifactregistry' # 名前は被らん程度に何でもよい

? このとき uv の tool の keyring 見てる?

RUN --mount=type=secret,id=adc,target=/adc.json GOOGLE_APPLICATION_CREDENTIALS=/adc.json uv sync --frozen

? 同じ Dockerfile の記述でいい感じにできないか?

気になる

その他 Google Cloud 環境なら metadata server 見えるはず

pip で使う

ADC ある上で

$ pip install keyring keyrings.google-artifactregistry-auth

pip install --extra-index-url=https://{region}-python.pkg.dev/{project}/{repository}/simple/ PACKAGE

引数のパターン

--extra-index-url={privateregistry}

PyPI → private の順に探す、大抵良いが、package 名がかぶるとバージョンが大きい方が使われる

--index-url={privateregistry}

private からしか探さない、private package が公開の package に依存していても入らない

--index-url={privateregistry} --no-deps

private からだけ入れて依存は無視する、2回に分けるならよい

--index-url={private_registry_url} --extra-index-url=https://pypi.org/simple/

private → PyPI の順に探しそうに見えて、バージョンが高いものが優先されて最初のと同じ

---.icon

Artifact Registry の Python リポジトリ作っておく

$ uv tool install keyring

$ uv tool install keyrings.google-artifactregistry-auth

$ uv tool run keyring --list-backends

だと見つからない

$ uv tool run keyring --list-backends

だとみつかる

これでだめか

code:index

tool.uv.index

name = 'artifactregistry'

$ uv publish --keyring-provider=subprocess --username=__token__ --index=artifactregistry

アップロード自体は試みてるけど 401 返ってる

pypirc 必須?

twine 直接実行するとして ~/.pypirc 置きたくねーな...

ではユーザ名パスワード聞かれる

$ TWINE_USERNAME=oauth2accesstoken TWINE_PASSWORD=$(gcloud auth print-access-token) uv tool run twine upload --repository-url=... dist/*.whl

これでうまくいく

パスワード認証ではあるが gcloud からトークン取ってるので良いんじゃないか

Google Cloud 下では metadata server から引けばいいだろう

いや、じゃあこれでいいんじゃない?

うまくいく

当然同じバージョンのは publish できないが

Cloud Build からは

これ使うのがいいだろう

これを利用する側は

$ uv tool install keyring --with keyrings.google-artifactregistry-auth

code:pyproject.toml

...

keyring-provider = "subprocess"

poku-mod-a = { index = "artifactregistry" }

poku-mod-b = { index = "artifactregistry" }

tool.uv.index

name = 'artifactregistry'

手元ではすんなり

しかし CI でインストールするのはどうかな?

手元のコンテナビルド

keyring コマンド見えてない

uv tool dir のパスへパス通すとうまくいく

ENV PATH=/root/.local/bin:$PATH

まあ他で使わないなら inline でもいいけど、通しておいたほうがハマりにくそうかな?

stage 分けても良い

code:Dockerfile

WORKDIR /app

COPY pyproject.toml uv.lock hello.py /app/

RUN uv tool install keyring --with keyrings.google-artifactregistry-auth

RUN --mount=type=secret,id=adc,target=/adc.json \

PATH=$(uv tool dir --bin):$PATH GOOGLE_APPLICATION_CREDENTIALS=/adc.json uv sync --frozen

$ docker build --secret id=adc,src=/Users/pokutuna/.config/gcloud/application_default_credentials.json .

Artifact Registry

特に気にせず metadata server から解決できるかな?

ここで止まる

うーん metadata server から読んでくれそうだが

止まるの謎だなあ、refresh が timeout しているような雰囲気...

keyring は見に行ってるしねえ

Cloud Build デフォルトサービスアカウントが Artifact Registry の read ついてるのは見た

うまくいった

シンプルに落ち着いたね、使う気分になる

code:Dockerfile

FROM python:3.12.8-slim-bookworm

COPY --from=ghcr.io/astral-sh/uv:latest /uv /uvx /bin/

COPY pyproject.toml uv.lock /app/

COPY src/ /app/src/

COPY packages/ /app/packages/

WORKDIR /app

RUN uv sync --frozen

code:cloudbuild.yaml

steps:

- name: gcr.io/cloud-builders/docker

args:

- build

- --network=cloudbuild

- --tag=asia-northeast1-docker.pkg.dev/$PROJECT_ID/d/uvwithartifactregistry:latest

- .

- name: gcr.io/cloud-builders/docker

args:

- push

- --all-tags

- asia-northeast1-docker.pkg.dev/$PROJECT_ID/d/uvwithartifactregistry