O Container Registry foi descontinuado. A partir de 18 de março de 2025, o Container Registry é encerrado e a gravação de imagens no Container Registry deixa de estar disponível.
Para mais informações sobre a descontinuação do Container Registry e como migrar para o Artifact Registry, consulte o artigo Descontinuação do Container Registry.

Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas para contentores

Esta página fornece informações sobre as práticas recomendadas para criar e executar imagens de contentores.

Criar contentores

A abordagem que usa para criar imagens de contentores pode afetar a velocidade das compilações e implementações, bem como o esforço necessário para manter as suas imagens.

Leia as práticas recomendadas do Docker para criar imagens.

Considerações para registos públicos

Considere cuidadosamente os seguintes casos:

Usar imagens de fontes públicas

Quando usa imagens de origens públicas, como o Docker Hub, está a introduzir código que a sua organização não controla na cadeia de fornecimento de software. Para mitigar o risco, pode:

Crie as suas próprias imagens para controlar o conteúdo das imagens.
Use uma imagem de base padronizada e crie a partir dessa imagem.
Analise imagens para verificar a existência de vulnerabilidades e resolva as vulnerabilidades identificadas.
Aplique normas e políticas às imagens que implementa.

Tornar os seus registos públicos

Pode tornar o registo no seu projeto Google Cloud público concedendo acesso de leitura no contentor de armazenamento do registo à identidade allUsers.

Se todos os seus utilizadores tiverem Google Cloud contas, pode limitar o acesso a utilizadores autenticados com a identidade allAuthenticatedUsers.

Considere as seguintes diretrizes antes de tornar um registo público:

Verifique se todas as imagens que armazena no registo são partilháveis publicamente e não expõem credenciais, dados pessoais nem dados confidenciais.
É-lhe cobrado o egresso da rede quando os utilizadores extraem imagens. Se prevê um grande volume de tráfego de transferências da Internet, considere os custos associados.
Por predefinição, os projetos têm uma quota ilimitada por utilizador. Para evitar abusos, limite as quotas por utilizador no seu projeto.

Remover imagens não usadas

Remova imagens de contentores não usadas para reduzir os custos de armazenamento e mitigar os riscos de usar software mais antigo. Existem várias ferramentas disponíveis para ajudar nesta tarefa, incluindo o gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial da Google.

Avaliação da segurança do contentor

O Center for Internet Security (CIS) tem uma referência do Docker para avaliar a segurança de um contentor do Docker.

O Docker fornece um script de código aberto denominado Docker Bench for Security. Pode usar o script para validar um contentor Docker em execução de acordo com a norma CIS Docker Benchmark.

O Docker Bench For Security pode ajudar a validar muitos itens no CIS Docker Benchmark, mas nem todos os itens são validáveis com o script. Por exemplo, o script não pode validar se o anfitrião do contentor está protegido ou se a imagem do contentor inclui dados pessoais. Reveja todos os itens na referência e identifique os que podem precisar de validação adicional.

Proteger implementações

Saiba como criar uma cadeia de fornecimento de software segura e como usar a análise de vulnerabilidades e a autorização binária no Google Cloud para definir e aplicar políticas de implementação.

Também pode ver um vídeo que descreve como proteger a sua cadeia de abastecimento de software.