Praktik terbaik untuk penampung

Halaman ini memberikan informasi tentang praktik terbaik untuk membuat dan menjalankan image container.

Membuat container

Pendekatan yang Anda lakukan untuk mem-build image container dapat memengaruhi kecepatan build dan deployment, serta upaya yang diperlukan untuk memelihara image Anda.

Baca praktik terbaik Docker untuk membuat image.

Pertimbangan untuk pendaftaran publik

Pertimbangkan kasus berikut dengan cermat:

Menggunakan gambar dari sumber publik

Saat Anda menggunakan image dari sumber publik seperti Docker Hub, Anda memasukkan kode yang tidak dikontrol oleh organisasi Anda ke dalam rantai pasokan software Anda. Untuk mengurangi risiko, Anda dapat:

  • Buat gambar Anda sendiri untuk mengontrol konten gambar.
  • Gunakan image dasar standar dan bangun di atas image tersebut.
  • Pindai image untuk mendeteksi kerentanan dan atasi kerentanan yang teridentifikasi.
  • Menerapkan standar dan kebijakan pada image yang Anda deploy.
Menjadikan daftar keinginan Anda publik

Anda dapat membuat registri di project Google Cloud Anda menjadi publik dengan memberikan akses baca pada bucket penyimpanan registri ke identitas allUsers.

Jika semua pengguna Anda memiliki akun, Anda dapat membatasi akses ke pengguna terautentikasi dengan identitas allAuthenticatedUsers. Google Cloud

Pertimbangkan panduan berikut sebelum membuat registri menjadi publik:

  • Pastikan semua gambar yang Anda simpan di registry dapat dibagikan secara publik dan tidak mengekspos kredensial, data pribadi, atau data rahasia.
  • Anda akan ditagih untuk traffic keluar jaringan saat pengguna menarik gambar. Jika Anda memperkirakan akan ada banyak traffic download internet, pertimbangkan biaya yang terkait.
  • Secara default, project memiliki kuota per pengguna yang tidak terbatas. Untuk mencegah penyalahgunaan, batasi kuota per pengguna dalam project Anda.

Menghapus gambar yang tidak digunakan

Hapus image container yang tidak digunakan untuk mengurangi biaya penyimpanan dan memitigasi risiko penggunaan software yang lebih lama. Ada sejumlah alat yang tersedia untuk membantu tugas ini, termasuk gcr-cleaner. Alat gcr-cleaner bukan produk resmi Google.

Menilai keamanan container

Center for Internet Security (CIS) memiliki Docker Benchmark untuk mengevaluasi keamanan penampung Docker.

Docker menyediakan skrip open source yang disebut Docker Bench for Security. Anda dapat menggunakan skrip untuk memvalidasi container Docker yang sedang berjalan terhadap Tolok Ukur Docker CIS.

Docker Bench For Security dapat membantu Anda memverifikasi banyak item dalam CIS Docker Benchmark, tetapi tidak semua item dapat diverifikasi dengan skrip. Misalnya, skrip tidak dapat memverifikasi apakah host untuk penampung telah diamankan atau apakah image penampung menyertakan data pribadi. Tinjau semua item dalam tolok ukur dan identifikasi item yang mungkin memerlukan verifikasi tambahan.

Mengamankan deployment

Pelajari cara membangun supply chain software yang aman dan cara menggunakan pemindaian kerentanan dan Otorisasi Biner di Google Cloud untuk menentukan dan menerapkan kebijakan untuk deployment.

Anda juga dapat menonton video yang menjelaskan cara mengamankan supply chain software Anda.