Conceptos de los contenedores

En este documento, se presentan conceptos clave relacionados con los contenedores, incluidos los registros, los repositorios y los artefactos. También se incluye información básica sobre cómo se aplican estos conceptos a Artifact Registry y Container Registry.

Registros

Un registro almacena y distribuye imágenes de contenedores y artefactos organizados por nombre dentro de repositorios. Un registro puede contener uno o varios repositorios y puede ser público o privado.

Los servicios de registro, como Docker Hub y Artifact Registry, proporcionan opciones para crear repositorios públicos o privados. Cuando se extraen imágenes públicas, es importante comprender los posibles problemas de seguridad. Obtén más información sobre la administración de dependencias para obtener más información sobre la supervisión de vulnerabilidades y cómo reducir la huella de dependencias.

Los registros se organizan en repositorios que almacenan imágenes de contenedores individuales. Artifact Registry te permite crear varios repositorios en un solo proyecto y asociar una región o multirregión específica con cada repositorio. Los repositorios relacionados se pueden agrupar por etiquetas.

Repositorios

Imágenes y artefactos con el mismo nombre, pero diferentes etiquetas organizadas en repositorios Si no se especifica ninguna etiqueta cuando una imagen se envía a un repositorio, se etiqueta con la etiqueta latest. Si se envía otra imagen sin especificar una etiqueta, la etiqueta latest se mueve de la imagen original a la más reciente, lo que deja la primera imagen sin una etiqueta. Recomendamos asignar a las versiones una etiqueta que no sea latest.

El término repositorio no siempre se usa de manera coherente. En Artifact Registry, es más útil usar partes de la ruta de acceso a la imagen para identificar el proyecto, la región o multirregión y el nombre de la imagen junto con la etiqueta o el resumen del manifiesto a fin de identificar la versión correcta.

Por ejemplo:

docker push us-central1-docker.pkg.dev/PROJECT/quickstart-docker-repo/quickstart-image:tag1

  • us-central1 es la ubicación del repositorio.
  • docker.pkg.dev es el nombre de host de los repositorios de Docker.
  • PROJECT es el espacio de nombres que crea el ID del proyecto de Google Cloud.
  • quickstart-docker-repo es el espacio de nombres en el proyecto en el que almacenas las imágenes. En Artifact Registry, esta parte de la ruta se denomina repositorio.
  • quickstart-image es el repositorio para todas las versiones de quickstart-image y, a menudo, se denomina la imagen.
  • tag1 es la etiqueta que especifica la versión de la imagen.

Imágenes

Los artefactos y las imágenes se pueden almacenar en Artifact Registry. Un artefacto puede ser cualquier tipo de archivo: un archivo de texto, una imagen de Docker o un gráfico de Helm, mientras que una imagen suele hacer referencia a una imagen de contenedor. Las imágenes de contenedor son paquetes de software que contienen todos los elementos necesarios para ejecutarse en cualquier entorno. Consulta Qué son los contenedores para obtener más información.

Las imágenes se envían o suben a los repositorios y se extraen o descargan de los repositorios. Para especificar la imagen y la versión correctas, se deben especificar el registro y el artefacto únicos.

Por ejemplo:

docker pull us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

  • us-docker.pkg.dev es el registro, incluida la multirregión us
  • /google-samples/containers/gke/ son el espacio de nombres y los espacios de nombres secundarios. En Artifact Registry, google-samples es el proyecto de Google Cloud y containers se conoce como el repositorio de Artifact Registry.
  • hello-app es el nombre del artefacto.
  • :1.0 es la etiqueta que especifica la versión del artefacto que se extraerá.

Capas

Las imágenes de contenedor almacenadas en repositorios se crean de forma incremental mediante capas. Es posible que algunas imágenes utilicen algunas de las mismas capas. Las capas se definen de diferentes maneras según el tipo de imagen, por ejemplo, cada instrucción en un Dockerfile corresponde a una capa en la imagen de Docker. Dentro de un registro, las imágenes con capas comunes comparten esas capas, lo que aumenta la eficiencia del almacenamiento. Por seguridad, las capas no se comparten entre registros diferentes.

Etiquetas

Los usuarios agregan etiquetas cuando envían o extraen una imagen a un repositorio para especificar la versión de una imagen. Una imagen puede tener una o varias etiquetas. Si envías una imagen dos veces con la misma etiqueta, la etiqueta se quita de la primera y se mueve a la segunda, lo que deja la primera imagen sin una etiqueta. Aún se puede acceder a la imagen sin etiquetar a través de sus resúmenes de manifiesto.

La etiqueta latest es una etiqueta especial que se agrega cuando se envían imágenes sin una etiqueta.

Por ejemplo:

docker push us-docker.pkg.dev/google-samples/containers/gke/hello-app

envía la imagen a hello-app:latest

docker pull us-docker.pkg.dev/google-samples/containers/gke/hello-app

extrae la imagen hello-app:latest.

Es importante tener en cuenta que, cuando una imagen se envía a un repositorio con una etiqueta que no es latest, no se agrega la etiqueta latest, por lo que es posible que la imagen latest esté retrasada con los cambios más recientes. Recomendamos usar etiquetas que no sean latest para las versiones. Para obtener más información sobre el etiquetado de imágenes, consulta cómo etiquetar tus imágenes de forma adecuada.

Manifiestos

Los manifiestos de imágenes identifican y especifican de forma única las capas dentro de cada imagen. Los manifiestos se identifican mediante hashes SHA-256 únicos llamados resúmenes de manifiestos. Los resúmenes de manifiestos son más confiables y seguros que las etiquetas, ya que se pueden enviar varias versiones de la misma imagen a la misma etiqueta, lo que deja algunas imágenes sin etiquetas, mientras que cada resumen se especifica de forma única mediante su resumen de manifiesto.

Si usas herramientas a fin de analizar o analizar imágenes, los resultados de estas herramientas solo serán válidos para la imagen analizada. Para asegurarte de implementar la imagen que se analizó, no puedes confiar en la etiqueta porque la imagen a la que hace referencia la etiqueta puede cambiar.

Para obtener más información sobre el etiquetado y los manifiestos específicos de Artifact Registry, consulta Administra imágenes y Usa imágenes de contenedor.

¿Qué sigue?