O Container Registry foi descontinuado e está programado para ser desativado. A partir de 15 de maio de 2024, o Artifact Registry vai hospedar imagens para o domínio gcr.io em projetos sem uso anterior do Container Registry. O Container Registry será desativado em 18 de março de 2025.

Para começar a gerenciar contêineres no Google Cloud, use o Artifact Registry. Se você usa o Container Registry, saiba como fazer a transição para o Artifact Registry e gerenciar seus contêineres no Google Cloud.

Para mais informações sobre a descontinuação e o encerramento, consulte a página descontinuações e as notas da versão.

Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas para contêineres

Nesta página, você encontra informações sobre práticas recomendadas para criar e executar imagens de contêiner.

Como criar contêineres

A abordagem que você adota para criar imagens de contêiner pode afetar a velocidade de builds e implantações, bem como o esforço necessário para manter as imagens.

Leia as práticas recomendadas do Docker para criar imagens.

Considerações para registros públicos

Considere cuidadosamente os seguintes casos:

Usar imagens de fontes públicas

Ao usar imagens de fontes públicas, como o Docker Hub, você está introduzindo na cadeia de suprimentos de software um código que sua organização não controla. Para reduzir o risco, você pode:

Crie suas próprias imagens para controlar o conteúdo delas.
Use uma imagem de base padronizada e crie em cima dela.
Verifique as imagens em busca de vulnerabilidades e resolva as vulnerabilidades identificadas.
Aplicar padrões e políticas nas imagens implantadas.

Tornar seus registros públicos

Para tornar o registro público no seu projeto do Google Cloud, conceda acesso de leitura ao bucket de armazenamento do registro à identidade allUsers.

Se todos os usuários tiverem contas do Google Cloud, é possível limitar o acesso a usuários autenticados com a identidade allAuthenticatedUsers.

Considere as seguintes diretrizes antes de tornar um registro público:

Verifique se todas as imagens armazenadas no registro podem ser compartilhadas publicamente e não expõem credenciais, dados pessoais ou confidenciais.
Você vai receber cobranças por saída de rede quando os usuários extraírem imagens. Se você espera um grande volume de tráfego de download de Internet, considere os custos associados.
Por padrão, os projetos têm uma cota por usuário ilimitada. Para evitar abusos, limite a cota por usuário no seu projeto.

Como remover imagens não usadas

Remova imagens de contêiner não utilizadas para reduzir os custos de armazenamento e mitigar os riscos de usar softwares mais antigos. Há várias ferramentas disponíveis para ajudar nessa tarefa, incluindo o gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial do Google.

Como avaliar a segurança do contêiner

O Center for Internet Security (CIS) tem um comparativo de mercado do Docker para avaliar a segurança de um contêiner do Docker.

O Docker fornece um script de código aberto chamado Docker Bench for Security. Você pode usar o script para validar um contêiner do Docker em execução no comparativo de mercado do CIS do Docker.

O Docker Bench For Security pode ajudar você a verificar muitos itens no comparativo de mercado do CIS do Docker, mas nem todos os itens são verificáveis com o script. Por exemplo, o script não pode verificar se o host do contêiner está mais protegido ou se a imagem do contêiner inclui dados pessoais. Analise todos os itens no comparativo de mercado e identifique aqueles que podem precisar de verificação adicional.

Como proteger implantações

Saiba como criar uma cadeia de suprimentos de software segura e como usar a verificação de vulnerabilidades e a autorização binária no Google Cloud para definir e aplicar políticas de implantação.

Você também pode assistir um vídeo que descreve como proteger sua cadeia de suprimentos de software.