代管式基础映像

本页面简要介绍 Google 管理的基础容器映像。

什么是基础映像?

大多数基于容器的开发都始于基础映像,在其上叠加了运行应用所必需的库、二进制文件和配置文件。基础映像是大多数基于容器的开发工作流的起点。

大多数基础映像是基本或最小 Linux 发行版:Debian、Ubuntu、Redhat、Centos 或 Alpine。开发者通常直接从 Docker Hub 或其他来源使用这些映像。除了各种其他下游重新打包器,还有官方提供商叠加软件来满足客户需求。

Google 为基础映像提供下面两种解决方案:

  • Google 维护用于构建其自己的应用的基础映像。这些映像可供 Google Cloud Marketplace 的用户使用

  • Google 提供了安全映像流水线,它是一种开源工具,可让您生成和维护自己的安全基础映像。您可以通过 Google Cloud 项目使用这些映像。

Google 提供的基础映像

Google 提供的基础映像适用于以下操作系统发行版:

操作系统 源代码 代码库路径 Google Cloud Marketplace 商品详情
CentOS GitHub marketplace.gcr.io/google/centos7 Google Cloud Marketplace
Debian 9 “Stretch” GitHub marketplace.gcr.io/google/debian9 Google Cloud Marketplace
Debian 10 "Buster" GitHub marketplace.gcr.io/google/debian10 Google Cloud Marketplace
Ubuntu 16.04 GitHub marketplace.gcr.io/google/ubuntu1604 Google Cloud Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 Google Cloud Marketplace

如需了解适用于托管式基础映像的许可,请参阅托管式基础映像许可文件。

Google 管理的基础映像具有以下优势:

扫描已知漏洞

会定期扫描这些映像来确定是否存在 CVE 数据库中列出的已知漏洞。

此扫描使用与 Container Registry Vulnerability Scanning 相同的功能。如果有适用于已发现的漏洞的补丁程序,Google 就会应用该补丁程序。

可重复构建

它们采用可重复的构建方式,因此具有一条从源代码到二进制文件的可验证路径。

您可以通过将映像与 GitHub 源代码进行比较来验证映像,确保构建时未引入任何缺陷。

存储在 Google Cloud 上

它们存储在 Google Cloud 上,因此您无需遍历网络即可直接从环境中提取这些映像。

安全映像流水线

所有开箱即用的基础映像都存在使用方无法审核其中所含内容这一情况。您无法查看源,也无法构建和测试映像处理流程或方法。作恶方通常在基础映像的下游添加恶意软件。当用户使用公共代码库中的基础映像时,无法控制其应用环境根目录下的软件供应链。

因此,当客户有合规性需求,需要审核他们运行的每个软件及其运行环境时,他们会在内部构建产品。为此,他们需要进行构建和维护。

安全映像流水线可让您生成和维护自己的安全基础映像。您可以使用 Google Cloud 项目中生成的基础映像。

您可为以下操作系统发行版生成基础映像:

  • Debian
  • Ubuntu
  • CentOS
  • Alpine

如需了解如何设置安全映像流水线,请参阅创建安全映像流水线

替代选项

如果托管式基础映像不适合您,您可以使用*缓存的映像,它们是存储在 mirror.gcr.io 上的经常请求的 Docker Hub 映像。如果您将 Docker 守护程序配置为使用缓存的映像,则客户端始终先检查 Docker Hub 映像的缓存副本,然后再尝试直接从 Docker Hub 拉取映像。

详细了解如何拉取缓存的映像

如需了解保护软件供应链的更多方法(包括映像验证),请参阅帮助确保 Google Kubernetes Engine 中软件供应链的安全无虞

后续步骤