Container Registry tidak digunakan lagi dan dijadwalkan untuk dihentikan. Mulai 15 Mei 2024, Artifact Registry akan menghosting image untuk domain gcr.io di project tanpa penggunaan Container Registry sebelumnya. Setelah 18 Maret 2025, Container Registry akan dinonaktifkan.

Untuk mulai mengelola container di Google Cloud, gunakan Artifact Registry. Jika Anda menggunakan Container Registry, pelajari cara bertransisi ke Artifact Registry untuk mengelola container di Google Cloud.

Untuk informasi selengkapnya tentang penghentian penggunaan dan penghentian, lihat halaman penghentian penggunaan dan catatan rilis.

Halaman ini diterjemahkan oleh Cloud Translation API.

Praktik terbaik untuk penampung

Halaman ini memberikan informasi tentang praktik terbaik untuk mem-build dan menjalankan image container.

Membuat container

Pendekatan yang Anda lakukan untuk mem-build image container dapat memengaruhi kecepatan build dan deployment, serta upaya yang diperlukan untuk mempertahankan image Anda.

Baca praktik terbaik Docker untuk mem-build image.

Pertimbangan untuk registry publik

Pertimbangkan dengan cermat kasus berikut:

Menggunakan gambar dari sumber publik

Saat menggunakan image dari sumber publik seperti Docker Hub, Anda akan memasukkan kode yang tidak dikontrol organisasi ke dalam rantai pasok software. Untuk memitigasi risiko, Anda dapat:

Buat gambar Anda sendiri untuk mengontrol konten gambar.
Gunakan image dasar standar dan build di atas image tersebut.
Memindai image untuk mengetahui adanya kerentanan dan mengatasi kerentanan yang diidentifikasi.
Terapkan standar dan kebijakan pada image yang Anda deploy.

Membuat registry Anda publik

Anda dapat membuat registry di project Google Cloud bersifat publik dengan memberikan akses baca di bucket penyimpanan registry ke identitas allUsers.

Jika semua pengguna memiliki akun Google Cloud, Anda dapat membatasi akses ke pengguna yang diautentikasi dengan identitas allAuthenticatedUsers.

Pertimbangkan panduan berikut sebelum membuat registry bersifat publik:

Pastikan semua gambar yang Anda simpan di registry dapat dibagikan secara publik dan tidak mengekspos kredensial, data pribadi, atau data rahasia.
Anda akan ditagih untuk traffic keluar jaringan saat pengguna mengambil gambar. Jika Anda memperkirakan akan ada banyak traffic download internet, pertimbangkan biaya terkait.
Secara default, project memiliki kuota per pengguna yang tidak terbatas. Untuk mencegah penyalahgunaan, batasi kuota per pengguna dalam project Anda.

Menghapus gambar yang tidak digunakan

Hapus image penampung yang tidak digunakan untuk mengurangi biaya penyimpanan dan memitigasi risiko penggunaan software lama. Ada sejumlah alat yang tersedia untuk membantu tugas ini, termasuk gcr-cleaner. Alat gcr-cleaner bukan merupakan produk resmi Google.

Menilai keamanan container

Center for Internet Security (CIS) memiliki Tolok Ukur Docker untuk mengevaluasi keamanan penampung Docker.

Docker menyediakan skrip open source yang disebut Docker Bench for Security. Anda dapat menggunakan skrip untuk memvalidasi container Docker yang berjalan dengan Tolok Ukur Docker CIS.

Docker Bench For Security dapat membantu Anda memverifikasi banyak item di CIS Docker Benchmark, tetapi tidak semua item dapat diverifikasi dengan skrip. Misalnya, skrip tidak dapat memverifikasi apakah host untuk penampung di-harden atau apakah image penampung menyertakan data pribadi. Tinjau semua item dalam benchmark dan identifikasi item yang mungkin memerlukan verifikasi tambahan.

Mengamankan deployment

Pelajari cara membuat supply chain software yang aman dan cara menggunakan pemindaian kerentanan dan Otorisasi Biner di Google Cloud untuk menentukan dan menerapkan kebijakan untuk deployment.

Anda juga dapat menonton video yang menjelaskan cara mengamankan supply chain software.