Nesta página, apresentamos uma visão geral das imagens de contêiner de base fornecidas pelo Google.
O que são imagens base?
A maioria dos desenvolvimentos baseados em contêineres começa com uma imagem base e camadas sobre as bibliotecas, os binários e os arquivos de configuração necessários para executar um aplicativo. A imagem base é o ponto de partida para a maioria dos fluxos de trabalho de desenvolvimento baseados em contêineres.
A maioria das imagens base são distribuições básicas ou mínimas do Linux: Debian, Ubuntu, Redhat, Centos ou Alpine. Os desenvolvedores geralmente consomem essas imagens diretamente do Docker Hub ou de outras fontes. Há provedores oficiais com uma ampla variedade de outros reembaladores downstream que usam softwares de camada para atender às necessidades dos clientes.
O Google oferece as duas soluções a seguir para imagens base:
O Google mantém imagens base para criar aplicativos próprios. Essas imagens estão disponíveis para usuários no Google Cloud Marketplace. O Google mantém essas imagens com base no melhor esforço.
O Google fornece um pipeline de imagens seguro, que é uma ferramenta de código aberto que permite gerar e manter suas próprias imagens base seguras. É possível consumir essas imagens do seu projeto do Google Cloud.
Imagens base fornecidas pelo Google
As imagens base fornecidas pelo Google estão disponíveis para as seguintes distribuições de SO:
| SO | Fonte | Caminho do repositório | Detalhes do aplicativo Google Cloud Marketplace |
|---|---|---|---|
| CentOS 7 | GitHub | marketplace.gcr.io/google/centos7 |
Google Cloud Marketplace |
| CentOS 8 | GitHub | marketplace.gcr.io/google/centos8 |
Google Cloud Marketplace |
| Debian 9 "Stretch" | GitHub | marketplace.gcr.io/google/debian9 |
Google Cloud Marketplace |
| Debian 10 "Buster" | GitHub | marketplace.gcr.io/google/debian10 |
Google Cloud Marketplace |
| Debian 11 "Bullseye" | GitHub | marketplace.gcr.io/google/debian11 |
Google Cloud Marketplace |
| Ubuntu 18.04 | GitHub | marketplace.gcr.io/google/ubuntu1804 |
Google Cloud Marketplace |
| Ubuntu 20.04 | GitHub | marketplace.gcr.io/google/ubuntu2004 |
Google Cloud Marketplace |
Para informações sobre a licença que se aplica a imagens de base, consulte o arquivo LICENSE das imagens de base.
As imagens de base fornecidas pelo Google têm as seguintes vantagens:
Verificar vulnerabilidades conhecidas
São regularmente verificadas em busca de vulnerabilidades conhecidas, usando o banco de dados de CVE.
Essa varredura usa a mesma funcionalidade que a verificação de vulnerabilidades do Artifact Registry. Se houver um patch disponível para uma vulnerabilidade encontrada, o Google o aplicará.
Criado para reprodução
São reproduzíveis, portanto, há um caminho verificável do código- fonte para o binário.
É possível verificar a imagem comparando-a com a fonte do GitHub. Assim, você pode garantir que a versão não tenha introduzido falhas.
Armazenado no Google Cloud
São armazenadas no Google Cloud, portanto, é possível extraí-las diretamente do seu ambiente sem precisar transferir entre redes.
Pipeline de imagens seguro
Todas as imagens base prontas são prejudicadas pela incapacidade dos consumidores de auditar o que está incluído nelas. Não há visibilidade de origens, processos de criação e teste ou métodos de processamento de imagens. Os usuários de má-fé geralmente adicionam softwares maliciosos downstream às imagens base. Quando os usuários consomem imagens base dos repositórios públicos, não há controle da cadeia de suprimentos de software na raiz do ambiente do aplicativo.
Portanto, quando os clientes têm necessidades de conformidade que exigem a auditoria de cada software executado e os ambientes em que são executados, eles criam algo internamente. Esse trabalho requer esforço para criar e manter.
O Pipeline de imagens seguro permite gerar e manter suas próprias imagens base seguras. É possível consumir as imagens base geradas a partir do projeto do Google Cloud.
É possível gerar imagens base para as seguintes distribuições de SO:
- Debian
- Ubuntu
- CentOS
- Alpine
Para instruções sobre como configurar o pipeline de imagens seguro, consulte Como criar o pipeline de imagens seguro.
Opções alternativas
Se as imagens de base não forem ideais para você, use as imagens em cache, que são imagens solicitadas com frequência do Docker Hub armazenadas em mirror.gcr.io. Se você
configurar o daemon do Docker para usar imagens em cache, o cliente sempre verificará a
cópia em cache de uma imagem do Docker Hub antes de tentar extraí-la diretamente do
Docker Hub.
Saiba mais sobre como extrair imagens armazenadas em cache.
Para saber outras maneiras de proteger a cadeia de suprimentos de software, incluindo a validação de imagens, consulte Ajudar a proteger cadeias de suprimentos de software no Google Kubernetes Engine.
A seguir
- Saiba como criar um pipeline de imagens base.