Cette page présente les images de conteneurs de base fournies par Google.
Que sont les images de base ?
La plupart des développements basés sur des conteneurs commencent par une image de base, sur laquelle sont superposées les bibliothèques, les fichiers binaires et les fichiers de configuration nécessaires à l'exécution d'une application. L'image de base est le point de départ de la plupart des workflows de développement basés sur des conteneurs.
La plupart des images de base sont des distributions Linux de base ou minimale : Debian, Ubuntu, Redhat, Centos ou Alpine. Les développeurs utilisent généralement ces images directement à partir de Docker Hub ou d'autres sources. Il existe des fournisseurs officiels, ainsi qu'une grande variété d'autres reconditionneurs en aval qui couches les logiciels pour répondre aux besoins des clients.
Google propose les deux solutions suivantes pour les images de base :
Google conserve des images de base pour créer ses propres applications. Ces images sont disponibles pour les utilisateurs de Google Cloud Marketplace. Google gère ces images du mieux possible.
Google fournit un pipeline d'images sécurisé, un outil Open Source qui vous permet de générer et de gérer vos propres images de base sécurisées. Vous pouvez utiliser ces images à partir de votre projet Google Cloud.
Images de base fournies par Google
Les images de base fournies par Google sont disponibles pour les distributions de système d'exploitation suivantes :
| Système d'exploitation | Source | Chemin d'accès au dépôt | Fiche Google Cloud Marketplace |
|---|---|---|---|
| CentOS 7 | GitHub | marketplace.gcr.io/google/centos7 |
Google Cloud Marketplace |
| CentOS 8 | GitHub | marketplace.gcr.io/google/centos8 |
Google Cloud Marketplace |
| Debian 9 "Stretch" | GitHub | marketplace.gcr.io/google/debian9 |
Google Cloud Marketplace |
| Debian 10 "Buster" | GitHub | marketplace.gcr.io/google/debian10 |
Google Cloud Marketplace |
| Debian 11 "BullsEye" | GitHub | marketplace.gcr.io/google/debian11 |
Google Cloud Marketplace |
| Ubuntu 18.04 | GitHub | marketplace.gcr.io/google/ubuntu1804 |
Google Cloud Marketplace |
| Ubuntu 20.04 | GitHub | marketplace.gcr.io/google/ubuntu2004 |
Google Cloud Marketplace |
Pour en savoir plus sur la licence applicable aux images de base, consultez le fichier LICENSE des images de base.
Les images de base fournies par Google présentent les avantages suivants:
Analyse des failles connues
Les failles connues y sont régulièrement recherchées, à partir de la base de données CVE.
Cette analyse utilise les mêmes fonctionnalités que l'analyse des failles de Artifact Registry. Lorsqu'un correctif est disponible pour une faille trouvée, Google l'applique.
Reproductible
Elles sont construites de manière reproductible. Il existe donc un chemin vérifiable du code source au fichier binaire.
Vous pouvez vérifier l'image en la comparant à la source GitHub pour vous assurer que la compilation n'a introduit aucune faille.
Stockage sur Google Cloud
Elles sont stockées sur Google Cloud. Ainsi, vous pouvez les récupérer directement depuis votre environnement sans avoir à traverser de réseaux.
Pipeline d'images sécurisé
Toutes les images de base prêtes à l'emploi souffrent de l'impossibilité pour les consommateurs d'auditer leur contenu. Il n'y a aucune visibilité sur les sources, les processus de compilation et de test, ni les méthodes de gestion des images. Les acteurs malveillants ajoutent souvent des logiciels malveillants en aval des images de base. Lorsque les utilisateurs consomment des images de base provenant des dépôts publics, il n'y a aucun contrôle sur la chaîne d'approvisionnement logicielle à la racine de leur environnement d'application.
Ainsi, lorsque les clients ont des besoins de conformité qui nécessitent un audit de chaque logiciel qu'ils exécutent et des environnements dans lesquels ils s'exécutent, ils créent quelque chose en interne. Pour ce faire, il est nécessaire de déployer et de gérer des tâches.
Le pipeline d'images sécurisé vous permet de générer et de gérer vos propres images de base sécurisées. Vous pouvez utiliser les images de base générées à partir de votre projet Google Cloud.
Vous pouvez générer des images de base pour les distributions de système d'exploitation suivantes :
- Debian
- Ubuntu
- CentOS
- Alpine
Pour obtenir des instructions sur la configuration de votre pipeline d'images sécurisé, consultez la page Créer un pipeline d'images sécurisé.
Autres options
Si les images de base ne vous conviennent pas, vous pouvez utiliser les images en cache, qui sont des images Docker Hub fréquemment demandées stockées sur mirror.gcr.io. Si vous configurez votre daemon Docker pour utiliser des images mises en cache, votre client recherche toujours une copie mise en cache d'une image Docker Hub avant d'essayer de l'extraire directement de Docker Hub.
En savoir plus sur l'extraction d'images mises en cache
Pour découvrir d'autres moyens de protéger votre chaîne d'approvisionnement logicielle, y compris la validation des images, consultez la page Aider à sécuriser les chaînes d'approvisionnement logicielles sur Google Kubernetes Engine.
Étapes suivantes
- Apprenez à créer un pipeline d'images de base.