Questa pagina fornisce informazioni sulle best practice per la creazione e l'esecuzione di immagini container.
Creazione di container
L'approccio adottato per la creazione di immagini container può influire sulla velocità di build e deployment, nonché sullo sforzo necessario per gestire le immagini.
Scopri le best practice per la creazione di container più facili da creare ed eseguire.
Puoi anche leggere le best practice relative al Docker per la creazione di immagini.
Utilizzo dei container
Scopri le best practice per l'utilizzo dei container. Queste pratiche includono suggerimenti per la sicurezza, il monitoraggio e il logging, che semplificano l'esecuzione delle applicazioni in Google Kubernetes Engine e nei container in generale.
Considerazioni per i registry pubblici
Considera con attenzione i seguenti casi:
- Utilizzo di immagini da fonti pubbliche
Quando utilizzi immagini da fonti pubbliche come Docker Hub, stai introducendo un codice che la tua organizzazione non controlla nella catena di fornitura del software. Per ridurre i rischi, puoi:
- Crea le tue immagini per controllare il contenuto delle immagini.
- Utilizza un'immagine di base standardizzata e sfruttala.
- Analizza le immagini per rilevare le vulnerabilità e risolvi le vulnerabilità identificate.
- Applica standard e criteri alle immagini di cui esegui il deployment.
Scopri di più sulle considerazioni relative alle immagini pubbliche
- Come rendere pubblici i tuoi registri
Puoi rendere pubblico il registro nel tuo progetto Google Cloud concedendo l'accesso in lettura al bucket di archiviazione del registry all'identità
allUsers.Se tutti i tuoi utenti hanno un account Google Cloud, puoi limitare l'accesso agli utenti autenticati con l'identità
allAuthenticatedUsers.Prima di rendere pubblico un registro, tieni presente le seguenti linee guida:
- Verifica che tutte le immagini archiviate nel registry siano condivisibili pubblicamente e non espongano credenziali, dati personali o dati riservati.
- Ti viene addebitato un costo per il traffico di rete in uscita quando gli utenti estraggono immagini. Se prevedi molto traffico Internet, considera i costi associati.
- Per impostazione predefinita, i progetti hanno una quota per utente illimitata. Per impedire utilizzi illeciti, limita la quota per utente all'interno del progetto.
Rimozione delle immagini inutilizzate
Rimuovere le immagini container inutilizzate per ridurre i costi di archiviazione e ridurre i rischi dell'utilizzo di software meno recenti. Per questa attività sono disponibili numerosi strumenti, tra cui gcr-cleaner. Lo strumento gcr-cleaner non è un prodotto Google ufficiale.
Valutare la sicurezza dei container
Il Centro per la sicurezza su Internet (CIS) dispone di un Benchmark Docker per la valutazione della sicurezza di un container Docker.
Docker fornisce uno script open source chiamato Docker Bench for Security. Puoi utilizzare lo script per convalidare un container Docker in esecuzione rispetto al CIS Docker Benchmark.
Docker Bench per la sicurezza può aiutarti a verificare molti elementi in CIS Docker Benchmark, ma non tutti gli elementi sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host del container è protetto o se l'immagine del container include dati personali. Esamina tutti gli elementi nel segnale di riferimento e identifica quelli che potrebbero richiedere un'ulteriore verifica.
Protezione dei deployment
Scopri come creare una catena di fornitura del software sicura e come utilizzare l'analisi delle vulnerabilità e Autorizzazione binaria su Google Cloud per definire e applicare i criteri per il deployment.
Puoi anche guardare un video che descrive come proteggere la catena di fornitura del software.