Artifact Registry è il servizio consigliato per la gestione delle immagini container. Container Registry è ancora supportato, ma riceverà solo correzioni di sicurezza critiche. Scopri come passare ad Artifact Registry.

Best practice per i container

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina fornisce informazioni sulle best practice per la creazione e l'esecuzione di immagini container.

Creazione di container

L'approccio adottato per creare le immagini container può influire sulla velocità di build e deployment, nonché sullo sforzo necessario per gestirle.

Scopri le best practice per la creazione di container che siano più facili da creare e da eseguire.

Puoi anche leggere le best practice per Docker per la creazione di immagini.

Utilizzo dei container

Scopri le best practice per l'utilizzo dei container. Queste pratiche includono suggerimenti per la sicurezza, il monitoraggio e il logging, che semplificano l'esecuzione delle applicazioni in Google Kubernetes Engine e nei container in generale.

Considerazioni relative ai registri pubblici

Considera con attenzione i seguenti casi:

Utilizzo di immagini provenienti da fonti pubbliche

Quando utilizzi immagini da origini pubbliche come Docker Hub, stai introducendo un codice che la tua organizzazione non controlla nella tua catena di fornitura del software. Per ridurre il rischio, puoi:

  • Crea le tue immagini per controllare i contenuti.
  • Usa un'immagine di base standardizzata e costruiscila sopra.
  • Analizza le immagini alla ricerca di vulnerabilità e risolvi le vulnerabilità identificate.
  • Applica standard e criteri alle immagini di cui esegui il deployment.

Scopri di più sulla considerazione delle immagini pubbliche

Rendere pubblici i registry

Puoi rendere pubblico il registro nel tuo progetto Google Cloud concedendo l'accesso in lettura al bucket di archiviazione del registro all'identità allUsers.

Se tutti i tuoi utenti hanno un account Google Cloud, puoi limitare l'accesso agli utenti autenticati con l'identità allAuthenticatedUsers.

Consulta le seguenti linee guida prima di rendere pubblico un registro:

  • Verifica che tutte le immagini archiviate nel Registro di sistema siano condivisibili pubblicamente e non esponano credenziali, dati personali o dati riservati.
  • Ti viene addebitato un costo per il traffico in uscita dalla rete quando gli utenti eseguono il pull delle immagini. Se prevedi molto traffico di download da Internet, considera i costi associati.
  • Per impostazione predefinita, i progetti hanno una quota per utente illimitata. Per impedire utilizzi illeciti, quota per quota utente all'interno del progetto.

Rimozione delle immagini inutilizzate

Rimuovi le immagini container inutilizzate per ridurre i costi di archiviazione e ridurre i rischi legati all'utilizzo di software meno recenti. Esistono diversi strumenti che possono aiutarti a svolgere questa attività, tra cui gcr-cleaner. Lo strumento gcr-cleaner non è un prodotto Google ufficiale.

Valutare la sicurezza dei container

Il Center for Internet Security (CIS) dispone di un Benchmark Docker per valutare la sicurezza di un container Docker.

Docker fornisce uno script open source chiamato Docker Bench per la sicurezza. Puoi utilizzare lo script per convalidare un container Docker in esecuzione in base al benchmark CIS Docker.

Docker Bench per la sicurezza può aiutarti a verificare molti elementi nel Docker Benchmark CIS, ma non tutti gli elementi sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host per il container è protetto o se l'immagine del container include dati personali. Rivedi tutti gli elementi nel benchmark e identifica quelli che potrebbero richiedere una verifica aggiuntiva.

Protezione dei deployment

Scopri come creare una catena di fornitura software sicura su Google Kubernetes Engine e come usare l'analisi delle vulnerabilità e l'autorizzazione binaria su Google Cloud per definire e applicare i criteri per il deployment.

Puoi anche guardare un video che descrive come proteggere la catena di fornitura del software.