Imágenes base administradas

En esta página, se proporciona una descripción general de las imágenes base de contenedores que administra Google.

¿Qué son las imágenes base?

La mayoría de los desarrollos basados en contenedores comienzan con una imagen base y capas sobre ella, las bibliotecas, los objetos binarios y los archivos de configuración necesarios para ejecutar una aplicación. La imagen base es el punto de partida para la mayoría de los flujos de trabajo de desarrollo basados en contenedores.

La mayoría de las imágenes base son distribuciones de Linux básicas o mínimas: Debian, Ubuntu, Red Hat, Centos o Alpine. Los desarrolladores suelen consumir estas imágenes directamente desde Docker Hub o desde otras fuentes. Existen proveedores oficiales junto con una amplia variedad de reempaquetadores descendentes que crean capas de software para satisfacer las necesidades de los clientes.

Google proporciona las siguientes dos soluciones para las imágenes base:

  • Google mantiene las imágenes base para compilar sus propias aplicaciones. Estas imágenes están disponibles para los usuarios en Google Cloud Marketplace

  • Google proporciona una canalización de imagen segura, que es una herramienta de código abierto que te permite generar y mantener tus propias imágenes base seguras. Puedes consumir estas imágenes desde tu proyecto de Google Cloud.

Imágenes base proporcionadas por Google

Las imágenes base que proporciona Google están disponibles para las siguientes distribuciones de SO:

SO Origen Ruta del repositorio Ficha de Google Cloud Marketplace
En CentOS GitHub marketplace.gcr.io/google/centos7 Google Cloud Marketplace
Debian 9 “Stretch” GitHub marketplace.gcr.io/google/debian9 Google Cloud Marketplace
Debian 10 “Buster” GitHub marketplace.gcr.io/google/debian10 Google Cloud Marketplace
Ubuntu 16.04 GitHub marketplace.gcr.io/google/ubuntu1604 Google Cloud Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 Google Cloud Marketplace

Para obtener información sobre la licencia que se aplica a las imágenes base administradas, consulta el archivo LICENSE de imágenes base administradas.

Las imágenes base administradas por Google tienen las siguientes ventajas:

Analizamos vulnerabilidades conocidas

Se analizan periódicamente en busca de vulnerabilidades conocidas de la base de datos de CVE.

Este análisis usa la misma funcionalidad que Análisis de vulnerabilidades de Artifact Registry. Cuando hay un parche disponible para una vulnerabilidad encontrada, Google lo aplica.

Compilaciones reproducibles

Se crean de manera que se puedan copiar, de modo que haya una ruta verificable desde el código fuente hasta el objeto binario.

Para verificar la imagen, puedes compararla con la fuente de GitHub. Asegúrate de que la compilación no haya introducido ningún defecto.

Almacenados en Google Cloud

Se almacenan en Google Cloud, por lo que puedes extraerlas directamente de tu entorno sin tener que atravesar redes.

Canalización de imágenes segura

Todas las imágenes base listas para usar no están disponibles para la imposibilidad de que los consumidores auditen lo que contienen. No hay visibilidad de las fuentes, los procesos de compilación y prueba, ni los métodos de manejo de las imágenes. A menudo, las personas malintencionadas agregan software malicioso debajo de las imágenes base. Cuando los usuarios consumen imágenes base de los repositorios públicos, no hay control de la cadena de suministro de software en la raíz de su entorno de aplicación.

Por lo tanto, cuando los clientes tienen necesidades de cumplimiento que requieren auditar cada parte del software que ejecutan y los entornos en los que se ejecutan, compilan algo en la empresa. El trabajo para hacerlo requiere esfuerzo para construir y mantener.

La canalización de imágenes seguras te permite generar y mantener tus propias imágenes base seguras. Puedes consumir las imágenes base generadas desde tu proyecto de Google Cloud.

Puedes generar imágenes base para las siguientes distribuciones de SO:

  • Debian
  • Ubuntu
  • En CentOS
  • Alpino

Si deseas obtener instrucciones para configurar la canalización de imagen segura, consulta Crea la canalización de imagen segura.

Alternativas disponibles

Si las imágenes base administradas no son la opción adecuada para ti, puedes usar * imágenes almacenadas en caché, que son imágenes de Docker Hub solicitadas con frecuencia almacenadas en mirror.gcr.io. Si configuras el daemon de Docker para usar imágenes almacenadas en caché, el cliente siempre busca una copia almacenada en caché de una imagen de Docker Hub antes de intentar extraerla directamente de Docker Hub.

Obtén más información sobre cómo extraer imágenes almacenadas en caché.

Para conocer más formas de proteger la cadena de suministro de software, incluida la validación de imágenes, consulta Ayuda a proteger las cadenas de suministro de software en Google Kubernetes Engine.

¿Qué sigue?