Container Registry está obsoleto. A partir del 18 de marzo del 2025, Container Registry se retirará y no se podrán escribir imágenes en él.
Para obtener más información sobre la retirada de Container Registry y cómo migrar a Artifact Registry, consulta el artículo Retirada de Container Registry.

Esta página se ha traducido con Cloud Translation API.

Prácticas recomendadas de contenedores

En esta página se proporciona información sobre las prácticas recomendadas para crear y ejecutar imágenes de contenedor.

Crear contenedores

El enfoque que adoptes para crear imágenes de contenedor puede influir en la velocidad de las compilaciones y los despliegues, así como en el esfuerzo necesario para mantener tus imágenes.

Consulta las prácticas recomendadas de Docker para crear imágenes.

Consideraciones sobre los registros públicos

Ten en cuenta los siguientes casos:

Usar imágenes de fuentes públicas

Cuando usas imágenes de fuentes públicas, como Docker Hub, introduces en tu cadena de suministro de software código que tu organización no controla. Para mitigar los riesgos, puedes hacer lo siguiente:

Crea tus propias imágenes para controlar el contenido de las imágenes.
Usa una imagen base estandarizada y crea a partir de ella.
Analiza las imágenes para detectar vulnerabilidades y aborda las que se hayan identificado.
Aplica estándares y políticas a las imágenes que implementes.

Hacer públicos tus registros

Puede hacer público el registro de su proyecto Google Cloud concediendo acceso de lectura al segmento de almacenamiento del registro a la identidad allUsers.

Si todos tus usuarios tienen Google Cloud cuentas, puedes limitar el acceso a los usuarios autenticados con la identidad de allAuthenticatedUsers.

Antes de hacer público un registro, ten en cuenta las siguientes directrices:

Verifica que todas las imágenes que almacenes en el registro se puedan compartir públicamente y que no expongan credenciales, datos personales ni datos confidenciales.
Se te cobra por la salida de red cuando los usuarios extraen imágenes. Si prevés que habrá mucho tráfico de descarga de Internet, ten en cuenta los costes asociados.
De forma predeterminada, los proyectos tienen una cuota por usuario ilimitada. Para evitar abusos, limita las cuotas por usuario de tu proyecto.

Eliminar imágenes que no se usan

Elimina las imágenes de contenedor que no utilices para reducir los costes de almacenamiento y mitigar los riesgos de usar software antiguo. Hay varias herramientas disponibles para ayudarte con esta tarea, como gcr-cleaner. La herramienta gcr-cleaner no es un producto oficial de Google.

Evaluar la seguridad de los contenedores

El Center for Internet Security (CIS) tiene un benchmark de Docker para evaluar la seguridad de un contenedor Docker.

Docker proporciona una secuencia de comandos de código abierto llamada Docker Bench for Security. Puedes usar la secuencia de comandos para validar un contenedor de Docker en ejecución con respecto a la prueba comparativa de Docker del CIS.

Docker Bench For Security puede ayudarte a verificar muchos elementos de la prueba comparativa de Docker del CIS, pero no todos los elementos se pueden verificar con la secuencia de comandos. Por ejemplo, la secuencia de comandos no puede verificar si el host del contenedor está protegido o si la imagen del contenedor incluye datos personales. Revisa todos los elementos de la comparativa e identifica los que puedan necesitar una verificación adicional.

Proteger despliegues

Consulta información sobre cómo crear una cadena de suministro de software segura y cómo usar el análisis de vulnerabilidades y la autorización binaria en Google Cloud para definir e implementar políticas de implementación.

También puedes ver un vídeo sobre cómo proteger tu cadena de suministro de software.