O Container Registry foi descontinuado e está programado para ser desativado. Desde 15 de maio de 2024, o Artifact Registry hospeda imagens para o domínio gcr.io em projetos sem uso anterior do Container Registry. O Container Registry será desativado em 18 de março de 2025.

Para começar a gerenciar contêineres no Google Cloud, use o Artifact Registry. Se você usa o Container Registry, saiba como fazer a transição para o Artifact Registry para gerenciar seus contêineres no Google Cloud.

Para mais informações sobre a descontinuação e o encerramento, consulte a página de suspensões de uso e as notas da versão.

Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas para contêineres

Nesta página, você encontra informações sobre práticas recomendadas para criar e executar imagens de contêiner.

Como criar contêineres

A abordagem que você adota para criar imagens de contêiner pode afetar a velocidade de builds e implantações, bem como o esforço necessário para manter as imagens.

Leia as práticas recomendadas do Docker para criar imagens.

Considerações para registros públicos

Considere cuidadosamente os seguintes casos:

Usar imagens de fontes públicas

Ao usar imagens de fontes públicas, como o Docker Hub, você introduzir no software códigos que não são controlados pela sua organização na cadeia de suprimentos. Para reduzir o risco, você pode:

Crie suas próprias imagens para controlar o conteúdo delas.
Use uma imagem de base padronizada e crie com base nessa imagem.
Verifique as imagens em busca de vulnerabilidades e resolva as vulnerabilidades identificadas.
Aplique padrões e políticas nas imagens que você implantar.

Tornar seus registros públicos

Para tornar o registro público no seu projeto do Google Cloud, conceda acesso de leitura ao bucket de armazenamento do registro à identidade allUsers.

Se todos os usuários tiverem contas do Google Cloud, é possível limitar o acesso a usuários autenticados com a identidade allAuthenticatedUsers.

Considere as seguintes diretrizes antes de tornar um registro público:

Verifique se todas as imagens armazenadas no registro são o compartilhamento público e não expõe credenciais, dados pessoais ou e confidenciais.
Você será cobrado pela saída de rede quando os usuários extrairem imagens. Se você espera um grande tráfego de download da Internet, considere as APIs custos.
Por padrão, os projetos têm uma cota por usuário ilimitada. Para evitar abusos, limite a cota por usuário dentro do seu projeto.

Como remover imagens não usadas

Remova imagens de contêiner não usadas para reduzir os custos de armazenamento e os riscos de usando softwares mais antigos. Há várias ferramentas disponíveis para ajudar essa tarefa, incluindo gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial do Google.

Como avaliar a segurança do contêiner

O Center for Internet Security (CIS) tem um comparativo de mercado do Docker para avaliar a segurança de um contêiner do Docker.

O Docker fornece um script de código aberto chamado Docker Bench for Security. Você pode usar o script para validar um contêiner do Docker em execução no comparativo de mercado do CIS do Docker.

O Docker Bench For Security pode ajudar você a verificar muitos itens no comparativo de mercado do CIS do Docker, mas nem todos os itens são verificáveis com o script. Por exemplo, o script não pode verificar se o host do contêiner está mais protegido ou se a imagem do contêiner inclui dados pessoais. Analise todos os itens no comparativo de mercado e identifique aqueles que podem precisar de verificação adicional.

Como proteger implantações

Aprenda a criar uma cadeia de suprimentos de software segura e como usar a verificação de vulnerabilidades e a autorização binária no Google Cloud para definir e aplicar políticas para implantação.

Você também pode assistir um vídeo que descreve como proteger sua cadeia de suprimentos de software.