Container Registry è deprecato e programmato per l'arresto. A partire dal 15 maggio 2024, Artifact Registry ospita le immagini per il dominio gcr.io in progetti senza precedente utilizzo di Container Registry. Dopo il 18 marzo 2025, Container Registry verrà arrestato.

Per iniziare a gestire i container su Google Cloud, utilizza Artifact Registry. Se utilizzi Container Registry, scopri come eseguire la transizione ad Artifact Registry per gestire i container su Google Cloud.

Per maggiori informazioni sul ritiro e la disattivazione, consulta la pagina sui ritiri e le note di rilascio.

Questa pagina è stata tradotta dall'API Cloud Translation.

Best practice per i container

Questa pagina fornisce informazioni sulle best practice per la creazione e l'esecuzione immagini container.

Creazione di container

L'approccio che adotti per creare le immagini container può influire la velocità di build e dei deployment, oltre all'impegno richiesto le tue immagini.

Leggi le best practice di Docker per la creazione di immagini.

Considerazioni sui registri pubblici

Considera attentamente i seguenti casi:

Utilizzo di immagini da fonti pubbliche

Quando utilizzi immagini da origini pubbliche come Docker Hub, introduci nella catena di approvvigionamento del software codice che la tua organizzazione non controlla. Per ridurre i rischi, puoi:

Crea le tue immagini per controllarne i contenuti.
Usa un'immagine di base standardizzata e creala sopra l'immagine.
Analizza le immagini per individuare le vulnerabilità e risolvere le vulnerabilità identificate.
Applica standard e criteri alle immagini di cui esegui il deployment.

Rendere pubblici i registri

Puoi rendere pubblico il registry nel tuo progetto Google Cloud concedendo accesso in lettura al bucket di archiviazione del registry all'identità allUsers.

Se tutti i tuoi utenti hanno account Google Cloud, puoi limitare l'accesso agli utenti autenticati con l'identità allAuthenticatedUsers.

Prima di rendere pubblico un registry, tieni presente le seguenti linee guida:

Verifica che tutte le immagini archiviate nel registro siano condivisibili pubblicamente e non espongono credenziali, dati personali o e la riservatezza dei dati.
Ti viene addebitato il costo per il traffico di rete in uscita quando gli utenti eseguono il pull delle immagini. Se prevedi molto traffico di download su internet, considera i parametri associati costi aggiuntivi.
Per impostazione predefinita, i progetti hanno una quota per utente illimitata. Per prevenire comportamenti illeciti, limita la quota per utente entro del progetto.

Rimozione delle immagini inutilizzate

Rimuovi le immagini container inutilizzate per ridurre i costi di archiviazione e mitigare i rischi di utilizzando software meno recenti. Hai a disposizione una serie di strumenti per questa attività, incluso gcr-cleaner. Lo strumento gcr-cleaner non è un prodotto ufficiale di Google.

Valutazione della sicurezza dei container

Center for Internet Security (CIS) dispone di un Docker Benchmark per valutare la sicurezza di un container Docker.

Docker fornisce uno script open source chiamato DockerBench for Security. Puoi utilizzare lo script per convalidare un container Docker in esecuzione rispetto a CIS Benchmark Docker.

Docker Bench For Security può aiutarti a verificare molti elementi nel Docker CIS Benchmark, ma non tutti gli elementi sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host del container è protetto o se l'immagine container include dati personali. Rivedi tutti gli elementi in benchmark e identificare quelli che potrebbero richiedere ulteriori verifiche.

Protezione dei deployment

Scopri come creare una catena di fornitura del software sicura e come utilizzare l'analisi delle vulnerabilità e Autorizzazione binaria su Google Cloud per definire e applicare i criteri per il deployment.

Puoi anche guardare un video che descrive come proteggere la catena di fornitura del software.