Container Registry está obsoleto y se programó para el cierre. A partir del 15 de mayo de 2024, Artifact Registry aloja imágenes para el dominio gcr.io en proyectos sin uso anterior de Container Registry. Después del 18 de marzo de 2025, Container Registry estará cerrado.

Para comenzar a administrar contenedores en Google Cloud, usa Artifact Registry. Si usas Container Registry, aprende a realizar la transición a Artifact Registry para administrar tus contenedores en Google Cloud.

Para obtener más información sobre la baja y la baja, consulta la página de bajas y las notas de la versión.

Se usó la API de Cloud Translation para traducir esta página.

Prácticas recomendadas para contenedores

En esta página, se proporciona información sobre las prácticas recomendadas para compilar y ejecutar las imágenes de contenedores.

Compila contenedores

El enfoque que adoptes para compilar imágenes de contenedor puede afectar la velocidad de las compilaciones y las implementaciones, así como el esfuerzo necesario para mantener tus imágenes.

Lee las prácticas recomendadas de Docker para compilar imágenes.

Consideraciones para los registros públicos

Considera cuidadosamente los siguientes casos:

Usar imágenes de fuentes públicas

Cuando usas imágenes de fuentes públicas como Docker Hub, Introducir código que tu organización no controla en tu software de la cadena de suministro. Para mitigar el riesgo, puedes hacer lo siguiente:

Compila tus propias imágenes para controlar el contenido de las imágenes.
Usar una imagen base estandarizada y compilar sobre ella
Analizar imágenes en busca de vulnerabilidades y abordar las vulnerabilidades identificadas
Aplica estándares y políticas a las imágenes que implementes.

Haz públicos tus registros

Para que el registro de tu proyecto de Google Cloud sea público, otorga acceso de lectura en el bucket de almacenamiento del registro a la identidad allUsers.

Si todos tus usuarios tienen cuentas de Google Cloud, puedes limitar el acceso a usuarios autenticados con la identidad allAuthenticatedUsers.

Ten en cuenta los siguientes lineamientos antes de hacer público un registro:

Verifica que todas las imágenes que almacenas en el registro se pueden compartir públicamente y no expongas credenciales, datos personales ni los datos confidenciales.
Se cobra la salida de red cuando los usuarios extraen imágenes. Si esperas mucho tráfico de descargas de Internet, considera de los costos.
De forma predeterminada, los proyectos tienen una cuota ilimitada por usuario. Para evitar abusos, limita la cuota por usuario en un tu proyecto.

Cómo quitar imágenes que no se usan

Quita las imágenes de contenedor sin usar para reducir los costos de almacenamiento y mitigar los riesgos de con un software más antiguo. Existen varias herramientas disponibles para ayudarte con esta tarea, incluido gcr-cleaner. La herramienta gcr-cleaner no es un producto oficial de Google.

Evalúa la seguridad de los contenedores

El Centro para la seguridad en Internet (CIS) tiene una referencia de Docker para evaluar la seguridad de un contenedor de Docker.

Docker proporciona una secuencia de comandos de código abierto llamada Docker Bench for Security. Puedes usar la secuencia de comandos para validar un contenedor de Docker en ejecución en relación con la referencia de Docker de CIS.

Docker Bench for Security puede ayudarte a verificar muchos elementos en la referencia de Docker de CIS, pero no todos los elementos se pueden verificar con la secuencia de comandos. Por ejemplo, la secuencia de comandos no puede verificar si el host del contenedor está endurecido o si la imagen del contenedor incluye datos personales. Revisa todos los elementos de la referencia y también identifica aquellos que podrían necesitar una verificación adicional.

Protege las implementaciones

Obtén información para crear una cadena de suministro de software seguro y cómo usar el análisis de vulnerabilidades y la autorización binaria en Google Cloud para definir y aplicar políticas para la implementación.

También puedes mirar un video sobre cómo proteger tu cadena de suministro de software.