Artifact Registry は、コンテナやその他の形式をサポートするユニバーサル パッケージ管理サービスです。アーティファクトをより柔軟に制御できるようにすることを目的とした、Container Registry からの移行について説明します。

コンテナのベスト プラクティス

このページでは、コンテナ イメージのビルドと実行に関するベスト プラクティスについて説明します。

コンテナのビルド

コンテナの作成方法は、ビルドやデプロイの速度、ならびにイメージの維持に必要な作業に影響します。

ビルドと実行がより簡単なコンテナのビルドに関するベスト プラクティスを学びましょう。

イメージのビルドについては、Docker のベスト プラクティスもご覧ください。

コンテナの操作

コンテナ運用に関するベスト プラクティスについて説明します。これらのプラクティスには、アプリケーションを Google Kubernetes Engine とコンテナ全般で実行しやすくする、セキュリティ、モニタリング、ロギングに関する推奨事項が含まれます。

ソフトウェア サプライ チェーンを保護する

ソフトウェアのライフサイクル全体でソフトウェアを保護する方法について説明します。

コンテナ セキュリティの評価

Center for Internet Security(CIS)には、Docker コンテナのセキュリティを評価する Docker ベンチマークがあります。

Docker には、Docker Bench for Security というオープンソース スクリプトがあります。このスクリプトを使用して、実行中の Docker コンテナを CIS Docker ベンチマークに対して検証できます。

Docker Bench for Security は、CIS Docker ベンチマークの多くの項目を確認するのに役立ちますが、スクリプトでは検証できない項目もあります。たとえば、コンテナのホストが強化されているか、コンテナ イメージに個人データが含まれているかどうかは確認できません。ベンチマークのすべての項目を確認し、追加の確認が必要な項目を特定してください。

デプロイの保護

Google Kubernetes Engine で安全なソフトウェア サプライ チェーンを構築する方法と、Google Cloud で脆弱性スキャンと Binary Authorization を使用してデプロイのポリシーを定義し適用する方法について説明します。

ソフトウェア サプライ チェーンの保護について説明した動画もご覧ください。