Artifact Registry es el servicio recomendado para administrar las imágenes de contenedor. Container Registry aún es compatible, pero solo recibirá correcciones de seguridad críticas. Obtén más información sobre la transición a Artifact Registry.

Imágenes base administradas

Las imágenes base administradas son imágenes base de contenedores a las que Google aplica automáticamente los parches por vulnerabilidades de seguridad más recientes disponibles del proyecto (por ejemplo, GitHub). Estas imágenes están disponibles para cualquier cliente de GCP.

En este documento, se describen las imágenes de contenedores administradas y cómo se mantienen.

Para obtener información sobre la licencia que se aplica a las imágenes base administradas, consulta el archivo LICENSE de imágenes base administradas.

Imágenes de contenedores y sistemas operativos

Cuando implementas un contenedor, eliges dos imágenes y sistemas operativos independientes:

Para crear tu imagen de contenedor, debes tomar una imagen base del sistema operativo y agregar los paquetes, las bibliotecas y los objetos binarios necesarios para tu aplicación.

Cómo se mantienen las imágenes base administradas

Google mantiene las imágenes base para crear sus propias aplicaciones, incluidos los servicios de Google Cloud, como Google App Engine.

Las imágenes base administradas tienen propiedades de seguridad que pueden volverlas útiles para ciertos usos:

  • Se analizan periódicamente en busca de vulnerabilidades conocidas de la base de datos de CVE.

    Este análisis usa la misma funcionalidad que el análisis de vulnerabilidades de Container Registry. Cuando hay un parche disponible para una vulnerabilidad encontrada, Google lo aplica.

  • Se crean de manera que se puedan copiar, por lo que existe una ruta verificable desde el código fuente hasta el objeto binario.

    Para verificar la imagen, puedes compararla con la fuente de GitHub. Asegúrate de que la compilación no haya introducido ningún defecto.

  • Se almacenan en Google Cloud, por lo que puedes extraerlas directamente de tu entorno sin tener que atravesar redes.

    Puedes extraer estas imágenes con el Acceso privado a Google. Por supuesto, puedes usarlas fuera de Google Cloud.

Imágenes de contenedor disponibles

Las imágenes base administradas están disponibles en GCP Marketplace.

Las imágenes base administradas están disponibles para las siguientes distribuciones de SO:

SO Origen Ruta del repositorio Ficha en GCP Marketplace
En CentOS GitHub marketplace.gcr.io/google/centos7 GCP Marketplace
Debian 9 “Stretch” GitHub marketplace.gcr.io/google/debian9 GCP Marketplace
Debian 10 “Buster” GitHub marketplace.gcr.io/google/debian10 GCP Marketplace
Ubuntu 16.04 GitHub marketplace.gcr.io/google/ubuntu1604 GCP Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 GCP Marketplace

Política de compatibilidad y ciclo de vida de los sistemas operativos

La compatibilidad con imágenes base administradas está sujeta a los ciclos de vida de las distribuciones de SO correspondientes. A menos que se indique lo contrario, Google publica imágenes actualizadas como mínimo una vez al mes. Se publican actualizaciones de seguridad y otras actualizaciones instaladas para las versiones del sistema operativo que se encuentran en la etapa de asistencia general de su ciclo de vida.

Cuando una versión del sistema operativo entra en la etapa del ciclo de vida extendido, Google ya no proporciona imágenes actualizadas. Por lo general, Google no agrega funciones nuevas a estas versiones en la etapa de ciclo de vida extendido o una etapa posterior.

Alternativas disponibles

Si las imágenes base administradas no son la opción adecuada para ti, existen otras alternativas:

  • Las imágenes de Distroless son imágenes mínimas centradas en el idioma.

    Míralas en GitHub.

  • Las imágenes almacenadas en caché son las imágenes de Docker Hub que se solicitan con frecuencia y que están almacenadas en mirror.gcr.io. Si configuras tu daemon de Docker para usar imágenes en caché, tu cliente siempre busca una copia en caché de una imagen de Docker Hub antes de intentar extraerla directamente de Docker Hub.

    Obtén más información sobre cómo extraer imágenes en caché.

Para conocer más formas de proteger la cadena de suministro de software, incluida la validación de imágenes, consulta Ayuda a proteger las cadenas de suministro de software en Google Kubernetes Engine.