Se usó la API de Cloud Translation para traducir esta página.

Conceptos de contenedores

En este documento, se presentan conceptos clave relacionados con los contenedores, incluidos los registros, los repositorios y los artefactos. También se incluye información básica sobre cómo se aplican estos conceptos a Artifact Registry y Container Registry .

Registros

Un registro almacena y distribuye artefactos y imágenes de contenedor organizados por nombre dentro de repositorios. Un registro puede contener uno o varios repositorios, y puede ser público o privado.

Los servicios de Registry como Docker Hub y Artifact Registry proporcionan opciones para crear repositorios públicos o privados. Cuando extraes imágenes públicas, es importante comprender los posibles problemas de seguridad. Lee sobre la administración de dependencias para obtener más información sobre la supervisión de vulnerabilidades y cómo reducir el impacto de tu dependencia.

Los registros se organizan en repositorios que almacenan imágenes de contenedores individuales. Artifact Registry te permite crear varios repositorios en un solo proyecto y asociar una regióno específica con cada repositorio. Los repositorios relacionados se pueden agrupar por etiquetas.

Repositorios

Las imágenes y los artefactos con el mismo nombre, pero con diferentes etiquetas, se organizan en repositorios. Si no se especifica ninguna etiqueta cuando se envía una imagen a un repositorio, la imagen se etiqueta con la etiqueta latest. Si se envía otra imagen sin especificar una etiqueta, la etiqueta latest se mueve de la imagen original a la más nueva y deja la primera imagen sin etiqueta. Te recomendamos que agregues una etiqueta a las versiones no más reciente.

El término repositorio no siempre se usa de manera coherente. En Artifact Registry, es más útil usar partes de la ruta de acceso a la imagen para identificar el proyecto, la región o multirregión y el nombre de la imagen junto con la etiqueta o el resumen del manifiesto para identificar la versión correcta.

Por ejemplo:

docker push us-west1-docker.pkg.dev/PROJECT/quickstart-docker-repo/quickstart-image:tag1

us-west1 es la ubicación del repositorio.
docker.pkg.dev es el nombre de host de los repositorios de Docker.
PROJECT es el espacio de nombres que creó tu ID del proyecto de Google Cloud.
quickstart-docker-repo es el espacio de nombres del proyecto en el que almacenas las imágenes. En Artifact Registry, esta parte de la ruta se llama repositorio.
quickstart-image es el repositorio de todas las versiones de quickstart-image y suele denominarse la imagen.
tag1 es la etiqueta que especifica la versión de la imagen.

Imágenes

Tanto los artefactos como las imágenes se pueden almacenar en Artifact Registry. Un artefacto puede ser cualquier cosa: un archivo de texto, una imagen de Docker o un gráfico de Helm, mientras que una imagen, por lo general, se refiere a una imagen de contenedor. Las imágenes de contenedor son paquetes de software que contienen todos los elementos necesarios para ejecutarse en cualquier entorno. Lee Qué son los contenedores para obtener más información.

Las imágenes se envían o suben a repositorios y extraen o descargan de repositorios. Para especificar la imagen y la versión correctas, se deben especificar el registro y el artefacto únicos.

Por ejemplo:

docker pull us-west1-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

us-west1-docker.pkg.dev es el registro.
/google-samples/containers/gke/ son el espacio de nombres y los espacios de nombres secundarios. En Artifact Registry, google-samples es el proyecto de Google Cloud y containers se conoce como el repositorio de Artifact Registry
hello-app es el nombre del artefacto.
:1.0 es la etiqueta que especifica la versión del artefacto que se extraerá.

Capas

Las imágenes de contenedores almacenadas en repositorios se construyen de forma incremental con capas. Las distintas imágenes pueden usar algunas de las mismas capas. Las capas se definen de diferentes maneras según el tipo de imagen, por ejemplo, cada instrucción en un Dockerfile corresponde a una capa en la imagen de Docker. Dentro de un registro, las imágenes con capas comunes comparten esas capas, lo que aumenta la eficiencia del almacenamiento. Por seguridad, las capas no se comparten entre distintos registros.

Cuando borras una imagen de contenedor, las capas no se borran de inmediato. Las capas a las que no hace referencia ninguna imagen del registro se borran a diario.

Etiquetas

Los usuarios agregan etiquetas cuando envían o extraen una imagen a un repositorio para especificar la versión de una imagen. Una imagen puede tener una, varias etiquetas o ninguna. Si envías una imagen dos veces con la misma etiqueta, esta se quita de la primera imagen y se mueve a la segunda, lo que deja la primera imagen sin etiqueta. Aún se puede acceder a la imagen sin etiquetar a través de los resumen de manifiestos.

La etiqueta latest es una etiqueta especial que se agrega cuando las imágenes se envían sin una etiqueta.

Por ejemplo:

docker push us-west1-docker.pkg.dev/my-project/my-repo/hello-app

envía la imagen a hello-app:latest

docker pull us-west1-docker.pkg.dev/my-project/my-repo/hello-app

extrae la imagen hello-app:latest.

Es importante tener en cuenta que, cuando se envía una imagen a un repositorio con una etiqueta que no sea latest, no se agrega la etiqueta latest, por lo que es posible que la imagen latest esté retrasada con los cambios más recientes. Recomendamos usar etiquetas distintas de latest para las versiones. Para obtener más información sobre el etiquetado de imágenes, consulta cómo Etiquetar correctamente tus imágenes.

Manifiestos

Los manifiestos de imágenes identifican y especifican de manera inequívoca las capas de cada imagen. Los manifiestos se identifican con hash SHA-256 únicos llamados resúmenes de manifiestos. Los resúmenes del manifiesto son más confiables y seguros que las etiquetas, ya que se pueden enviar varias versiones de la misma imagen a la misma etiqueta y dejar algunas imágenes sin etiquetas, mientras que el resumen del manifiesto especifica cada imagen de manera única.

Si usas herramientas para analizar o analizar imágenes, los resultados de estas herramientas solo son válidos para la imagen analizada. Para asegurarte de implementar la imagen que se escaneó, no puedes confiar en la etiqueta, ya que la imagen a la que hace referencia la etiqueta puede cambiar.

Para obtener más información sobre el etiquetado y los manifiestos específicos de Artifact Registry, consulta Administra imágenes y Usa imágenes de contenedor.

¿Qué sigue?

Guía de inicio rápido de Docker
Trabaja con imágenes de contenedor
Guía de inicio rápido de Helm
Trabaja con gráficos de Helm
Lee sobre DevOps y explora el programa de investigación de DORA.