Verwaltete Basis-Images

Verwaltete Basis-Images sind Basiscontainer-Images, die von Google automatisch auf Sicherheitslücken gepatcht werden. Dabei werden die neuesten Patches aus dem Projekt-Upstream verwendet (beispielsweise GitHub). Diese Images sind für jeden GCP-Kunden verfügbar.

In diesem Dokument werden die verwalteten Container-Images und die Art ihrer Verwaltung beschrieben.

Informationen zur Lizenz, die für verwaltete Basis-Images gilt, finden Sie in der Datei LICENSE für verwaltete Basis-Images.

Container-Images und Betriebssysteme

Wenn Sie einen Container bereitstellen, wählen Sie zwei separate Betriebssysteme und Images aus:

  • Knoten- oder Host-Image

    Das Betriebssystem, auf dem Sie den Container ausführen.

  • Container-Image

    Das Betriebssystem, das für Ihren Container selbst verwendet wird.

Zum Erstellen des Container-Images erstellen Sie ein Betriebssystem-Basis-Image und nehmen die für Ihre Anwendung erforderlichen Pakete, Bibliotheken und Binärprogramme darin auf.

So werden verwaltete Basis-Images organisiert

Google verwaltet Basis-Images zum Erstellen eigener Anwendungen, darunter Google Cloud-Dienste wie Google App Engine.

Verwaltete Basis-Images haben Sicherheitsmerkmale, durch die sie für bestimmte Zwecke besonders nützlich sein können:

  • Sie werden regelmäßig auf bekannte Sicherheitslücken gescannt. Als Referenz werden in der CVE-Datenbank enthaltene bekannte Sicherheitslücken verwendet.

    Bei diesem Scan wird die gleiche Funktionalität genutzt wie beim Scannen nach Sicherheitslücken in der Container Registry. Wenn ein Patch für eine gefundene Sicherheitslücke verfügbar ist, wendet Google diesen Patch an.

  • Sie werden in reproduzierbarer Form erstellt. Es gibt also einen nachvollziehbaren Weg vom Quellcode zum Binärprogramm.

    Zur Überprüfung des Images können Sie es mit der GitHub-Quelle vergleichen und dadurch gewährleisten, dass durch den Build keine Fehler eingebaut wurden.

  • Sie werden in Google Cloud gespeichert. Sie können sie also direkt aus Ihrer Umgebung heraus abrufen, ohne Netzwerke durchsuchen zu müssen.

    Sie können diese Images durch privaten Google-Zugriff abrufen. Natürlich können Sie sie auch außerhalb von Google Cloud verwenden.

Verfügbare Images

Verwaltete Basis-Images sind im GCP Marketplace verfügbar.

Verwaltete Basis-Images sind für folgende Betriebssystem-Distributionen verfügbar:

Betriebssystem Quelle Repository-Pfad GCP Marketplace-Eintrag
CentOS GitHub marketplace.gcr.io/google/centos7 GCP Marketplace
Debian 9 "Stretch" GitHub marketplace.gcr.io/google/debian9 GCP Marketplace
Ubuntu 16.04 GitHub marketplace.gcr.io/google/ubuntu1604 GCP Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 GCP Marketplace

Lebenszyklus der Betriebssysteme und Supportrichtlinie

Für den Support für verwaltete Basis-Images gelten die Lebenszyklen der entsprechenden Betriebssystem-Distributionen. Sofern nicht anders angegeben, veröffentlicht Google mindestens einmal im Monat aktualisierte Images. Veröffentlichte Updates enthalten Sicherheitsupdates und andere Updates für Betriebssystemversionen, die sich in der Mainstream-Supportphase ihres Lebenszyklus befinden.

Wenn eine Betriebssystemversion die erweiterte Lebenszyklusphase erreicht, stellt Google keine aktualisierten Images mehr bereit. Google portiert neue Funktionen im Allgemeinen nicht mehr für diese Versionen im erweiterten Lebenszyklus oder nach dem erweiterten Lebenszyklus.

Andere Möglichkeiten

Wenn verwaltete Basis-Images nicht für Sie geeignet sind, kommen diese Alternativen in Betracht:

  • Distroless-Images sind minimale Images mit dem Schwerpunkt Sprache.

    Sie können sie sich auf GitHub ansehen.

  • Der Docker Hub-Spiegel von Container Registry bietet häufig abgerufene Docker Hub-Images (einschließlich Basis-Images) an.

    Weitere Informationen zum Abrufen von im Cache gespeicherten Images.

Weitere Möglichkeiten zum Schutz Ihrer Softwarelieferkette einschließlich Image-Validierung finden Sie unter Sicherheit der Softwarelieferketten in Google Kubernetes Engine unterstützen.