Gestalten Sie die Zukunft der Softwarebereitstellung und tragen Sie Ihre Stimme durch. Nehmen Sie dazu den 2021 der DevOps-Umfrage an.

Verwaltete Basis-Images

Verwaltete Basis-Images sind Basiscontainer-Images, die von Google automatisch auf Sicherheitslücken gepatcht werden. Dabei werden die neuesten Patches aus dem Projekt-Upstream verwendet (beispielsweise GitHub). Diese Images sind für jeden GCP-Kunden verfügbar.

In diesem Dokument werden die verwalteten Container-Images und die Art ihrer Verwaltung beschrieben.

Informationen zur Lizenz, die für verwaltete Basis-Images gilt, finden Sie in der LIZENZ-Datei für verwaltete Basis-Images.

Container-Images und Betriebssysteme

Wenn Sie einen Container bereitstellen, wählen Sie zwei separate Betriebssysteme und Images aus:

Zum Erstellen des Container-Images erstellen Sie ein Betriebssystem-Basis-Image und nehmen die für Ihre Anwendung erforderlichen Pakete, Bibliotheken und Binärprogramme darin auf.

So werden verwaltete Basis-Images organisiert

Google verwaltet Basis-Images zum Erstellen eigener Anwendungen, darunter Google Cloud-Dienste wie Google App Engine.

Verwaltete Basis-Images haben Sicherheitsmerkmale, durch die sie für bestimmte Zwecke besonders nützlich sein können:

  • Sie werden regelmäßig auf bekannte Sicherheitslücken gescannt. Als Referenz werden in der CVE-Datenbank enthaltene bekannte Sicherheitslücken verwendet.

    Bei diesem Scan wird die gleiche Funktionalität genutzt wie beim Scannen nach Sicherheitslücken in der Container Registry. Wenn ein Patch für eine gefundene Sicherheitslücke verfügbar ist, wendet Google diesen Patch an.

  • Sie werden in reproduzierbarer Form erstellt. Es gibt also einen nachvollziehbaren Weg vom Quellcode zum Binärprogramm.

    Zur Überprüfung des Images können Sie es mit der GitHub-Quelle vergleichen und dadurch gewährleisten, dass durch den Build keine Fehler eingebaut wurden.

  • Sie werden in Google Cloud gespeichert. Sie können sie also direkt aus Ihrer Umgebung heraus abrufen, ohne in den Netzwerken suchen zu müssen.

    Sie können diese Images durch privaten Google-Zugriff abrufen. Natürlich können Sie sie auch außerhalb von Google Cloud verwenden.

Verfügbare Container-Images

Verwaltete Basis-Images sind im GCP Marketplace verfügbar.

Verwaltete Basis-Images sind für folgende Betriebssystem-Distributionen verfügbar:

Betriebssystem Quelle Repository-Pfad GCP Marketplace-Eintrag
CentOS GitHub marketplace.gcr.io/google/centos7 GCP Marketplace
Debian 9 "Stretch" GitHub marketplace.gcr.io/google/debian9 GCP Marketplace
Debian 10 „Buster“ GitHub marketplace.gcr.io/google/debian10 GCP Marketplace
Ubuntu 16.04 GitHub marketplace.gcr.io/google/ubuntu1604 GCP Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 GCP Marketplace

Lebenszyklus der Betriebssysteme und Supportrichtlinie

Für den Support für verwaltete Basis-Images gelten die Lebenszyklen der entsprechenden Betriebssystem-Distributionen. Sofern nicht anders angegeben, veröffentlicht Google mindestens einmal im Monat aktualisierte Images. Veröffentlichte Updates enthalten Sicherheitsupdates und andere Updates für Betriebssystemversionen, die sich in der Mainstream-Supportphase ihres Lebenszyklus befinden.

Wenn eine Betriebssystemversion die erweiterte Lebenszyklusphase erreicht, stellt Google keine aktualisierten Images mehr bereit. Google portiert neue Funktionen im Allgemeinen nicht mehr für diese Versionen im erweiterten Lebenszyklus oder nach dem erweiterten Lebenszyklus.

Andere Möglichkeiten

Wenn verwaltete Basis-Images nicht für Sie geeignet sind, kommen diese Alternativen in Betracht:

  • Distroless-Images sind minimale Images mit dem Schwerpunkt Sprache.

    Sie können sie sich auf GitHub ansehen.

  • Im Cache gespeicherte Images sind häufig angeforderte Docker Hub-Images, die in mirror.gcr.io gespeichert sind. Wenn Sie den Docker-Daemon so konfigurieren, dass er im Cache gespeicherte Images verwendet, prüft Ihr Client immer, ob eine im Cache gespeicherte Kopie eines Docker Hub-Images vorhanden ist, bevor er versucht, es direkt aus Docker Hub abzurufen.

    Weitere Informationen zum Abrufen von im Cache gespeicherten Images

Weitere Möglichkeiten zum Schutz Ihrer Softwarelieferkette einschließlich Image-Validierung finden Sie unter Sicherheit der Softwarelieferketten in Google Kubernetes Engine unterstützen.