Imagens de base gerenciadas

As imagens de base gerenciadas são imagens de contêiner de base que são corrigidas automaticamente pelo Google em busca de vulnerabilidades de segurança, com os patches mais recentes disponíveis no desenvolvimento do projeto (por exemplo, GitHub). Essas imagens estão disponíveis para qualquer cliente do GCP.

Neste documento, descrevemos as imagens de contêiner gerenciadas e como elas são mantidas.

Imagens de contêiner e sistemas operacionais

Quando você implanta um contêiner, escolhe dois sistemas operacionais e imagens separados:

  • Nó ou imagem do host

    O sistema operacional no qual você executa seu contêiner.

  • Imagem de contêiner

    O sistema operacional usado para seu próprio contêiner.

A imagem de contêiner é criada pela adição de pacotes, bibliotecas e binários necessários para seu aplicativo à imagem de base do sistema operacional.

Como as imagens de base gerenciadas são mantidas

O Google mantém imagens de base para criar seus próprios aplicativos, incluindo serviços do Google Cloud, como o Google App Engine.

As imagens de base gerenciadas têm propriedades de segurança que as tornam adequadas para alguns usos:

  • São regularmente verificadas em busca de vulnerabilidades conhecidas, usando o banco de dados de CVE.

    Essa varredura usa a mesma funcionalidade que a verificação de vulnerabilidades do Container Registry. Se houver um patch disponível para uma vulnerabilidade encontrada, o Google o aplicará.

  • São reproduzíveis, portanto, há um caminho verificável do código-fonte para o binário.

    É possível verificar a imagem comparando-a com a fonte do GitHub. Assim, você pode garantir que a versão não tenha introduzido falhas.

  • São armazenadas no Google Cloud, portanto, é possível extraí-las diretamente do seu ambiente sem precisar transferir entre redes.

    É possível extrair essas imagens usando o acesso particular do Google e utilizá-las fora do Google Cloud.

Imagens disponíveis

Imagens de base gerenciadas estão disponíveis no GCP Marketplace.

Imagens de base gerenciadas estão disponíveis para as seguintes versões de sistema operacional:

SO Fonte Caminho do repositório Listagem do GCP Marketplace
CentOS GitHub marketplace.gcr.io/google/centos7 GCP Marketplace
Debian 9 "Stretch" GitHub marketplace.gcr.io/google/debian9 GCP Marketplace
Ubuntu 16.04 GitHub marketplace.gcr.io/google/ubuntu1604 GCP Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 GCP Marketplace

Ciclo de vida e política de suporte do sistema operacional

A compatibilidade com imagens de base gerenciadas está sujeita aos ciclos de vida das versões correspondentes do sistema operacional. Salvo indicação contrária, o Google publica imagens atualizadas pelo menos uma vez por mês. As atualizações publicadas incluem atualizações de segurança e outros upgrades instalados para versões de sistemas operacionais no estágio de suporte principal.

Quando uma versão do sistema operacional entra no estágio de ciclo de vida estendido, o Google não fornece mais imagens atualizadas. O Google geralmente não oferece suporte a novos recursos para essas versões no estágio de ciclo de vida estendido ou no estágio posterior.

Opções alternativas

Se as imagens de base gerenciadas não são ideais para você, existem alternativas adequadas:

Para saber outras maneiras de proteger a cadeia de suprimentos de software, incluindo a validação de imagens, consulte Ajudar a proteger cadeias de suprimentos de software no Google Kubernetes Engine.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…