Container Registry è deprecato. A partire dal 18 marzo 2025, Container Registry verrà chiuso e la scrittura di immagini in Container Registry non sarà più disponibile.
Per ulteriori informazioni sul ritiro di Container Registry e su come eseguire la migrazione ad Artifact Registry, consulta Ritiro di Container Registry.

Questa pagina è stata tradotta dall'API Cloud Translation.

Best practice per i container

Questa pagina fornisce informazioni sulle best practice per la creazione e l'esecuzione di immagini container.

Creazione di container

L'approccio adottato per la creazione di immagini container può influire sulla velocità di build e deployment, nonché sull'impegno necessario per la manutenzione delle immagini.

Leggi le best practice di Docker per la creazione di immagini.

Considerazioni per i registri pubblici

Valuta attentamente i seguenti casi:

Utilizzo di immagini provenienti da fonti pubbliche

Quando utilizzi immagini da origini pubbliche come Docker Hub, introduci nella tua supply chain del software codice che la tua organizzazione non controlla. Per ridurre il rischio, puoi:

Crea le tue immagini per controllare i contenuti delle immagini.
Utilizza un'immagine di base standardizzata e crea a partire da questa immagine.
Analizza le immagini per individuare le vulnerabilità e risolvi quelle identificate.
Applica standard e criteri alle immagini di cui esegui il deployment.

Rendere pubblici i registri

Puoi rendere pubblico il registro nel tuo progetto Google Cloud concedendo l'accesso in lettura al bucket di archiviazione del registro all'identità allUsers.

Se tutti i tuoi utenti hanno Google Cloud account, puoi limitare l'accesso agli utenti autenticati con l'identità allAuthenticatedUsers.

Prima di rendere pubblico un registro, tieni presente le seguenti linee guida:

Verifica che tutte le immagini archiviate nel registro siano condivisibili pubblicamente e non espongano credenziali, dati personali o dati riservati.
Ti vengono addebitati i costi per il traffico di rete in uscita quando gli utenti scaricano le immagini. Se prevedi un traffico di download da internet elevato, tieni conto dei costi associati.
Per impostazione predefinita, i progetti prevedono quote per utente illimitate. Per evitare abusi, limita le quote per utente all'interno del tuo progetto.

Rimozione delle immagini inutilizzate

Rimuovi le immagini container non utilizzate per ridurre i costi di archiviazione e mitigare i rischi dell'utilizzo di software meno recenti. Esistono diversi strumenti disponibili per aiutarti in questa attività, tra cui gcr-cleaner. Lo strumento gcr-cleaner non è un prodotto Google ufficiale.

Valutare la sicurezza dei container

Il Center for Internet Security (CIS) ha un benchmark Docker per valutare la sicurezza di un container Docker.

Docker fornisce uno script open source chiamato Docker Bench for Security. Puoi utilizzare lo script per convalidare un container Docker in esecuzione rispetto al benchmark CIS Docker.

Docker Bench For Security può aiutarti a verificare molti elementi del CIS Docker Benchmark, ma non tutti sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host per il container è protetto o se l'immagine container include dati personali. Esamina tutti gli elementi nel benchmark e identifica quelli che potrebbero richiedere una verifica aggiuntiva.

Protezione dei deployment

Scopri di più sulla creazione di una catena di fornitura del software sicura e su come utilizzare la analisi delle vulnerabilità e Autorizzazione binaria su Google Cloud per definire e applicare le norme per il deployment.

Puoi anche guardare un video che descrive come proteggere la catena di fornitura del software.