Container Registry está obsoleto y se programó para el cierre. A partir del 15 de mayo de 2024, Artifact Registry aloja imágenes para el dominio gcr.io en proyectos sin uso anterior de Container Registry. Después del 18 de marzo de 2025, Container Registry estará cerrado.

Para comenzar a administrar contenedores en Google Cloud, usa Artifact Registry. Si usas Container Registry, obtén información para migrar a Artifact Registry y administrar tus contenedores en Google Cloud.

Para obtener más información sobre la baja y la baja, consulta la página de bajas y las notas de la versión.

Se usó la API de Cloud Translation para traducir esta página.

Prácticas recomendadas para contenedores

En esta página, se proporciona información sobre las prácticas recomendadas para compilar y ejecutar las imágenes de contenedores.

Compila contenedores

El enfoque que adoptes para compilar imágenes de contenedor puede afectar la velocidad de las compilaciones y las implementaciones, así como el esfuerzo necesario para mantener tus imágenes.

Lee las prácticas recomendadas de Docker para compilar imágenes.

Consideraciones para los registros públicos

Considera cuidadosamente los siguientes casos:

Usa imágenes de fuentes públicas

Cuando usas imágenes de fuentes públicas, como Docker Hub, estás insertando código que tu organización no controla en tu cadena de suministro de software. Para mitigar el riesgo, puedes hacer lo siguiente:

Compila tus propias imágenes para controlar el contenido de las imágenes.
Usar una imagen base estandarizada y compilar sobre ella
Analiza las imágenes en busca de vulnerabilidades y aborda las vulnerabilidades identificadas.
Aplica estándares y políticas en las imágenes que implementes.

Cómo hacer públicos tus registros

Para que el registro de tu proyecto de Google Cloud sea público, otorga acceso de lectura en el bucket de almacenamiento del registro a la identidad allUsers.

Si todos tus usuarios tienen cuentas de Google Cloud, puedes limitar el acceso a usuarios autenticados con la identidad allAuthenticatedUsers.

Ten en cuenta los siguientes lineamientos antes de hacer público un registro:

Verifica que todas las imágenes que almacenes en el registro se puedan compartir de forma pública y no expongan credenciales, datos personales ni confidenciales.
Se te cobrará por la salida de red cuando los usuarios extraigan imágenes. Si esperas mucho tráfico de descargas de Internet, considera de los costos.
De forma predeterminada, los proyectos tienen una cuota por usuario ilimitada. Para evitar abusos, limita la cuota por usuario en un tu proyecto.

Cómo quitar imágenes que no se usan

Quita las imágenes de contenedor sin usar para reducir los costos de almacenamiento y mitigar los riesgos de con un software más antiguo. Existen varias herramientas disponibles para ayudarte con esta tarea, como gcr-cleaner. La herramienta gcr-cleaner no es un producto oficial de Google.

Evalúa la seguridad de los contenedores

El Centro para la seguridad en Internet (CIS) tiene una referencia de Docker para evaluar la seguridad de un contenedor de Docker.

Docker proporciona una secuencia de comandos de código abierto llamada Docker Bench for Security. Puedes usar la secuencia de comandos para validar un contenedor de Docker en ejecución en relación con la referencia de Docker de CIS.

Docker Bench for Security puede ayudarte a verificar muchos elementos en la referencia de Docker de CIS, pero no todos los elementos se pueden verificar con la secuencia de comandos. Por ejemplo, la secuencia de comandos no puede verificar si el host del contenedor está endurecido o si la imagen del contenedor incluye datos personales. Revisa todos los elementos de la referencia y también identifica aquellos que podrían necesitar una verificación adicional.

Protege las implementaciones

Obtén información para crear una cadena de suministro de software seguro y cómo usar el análisis de vulnerabilidades y la autorización binaria en Google Cloud para definir y aplicar políticas para la implementación.

También puedes mirar un video sobre cómo proteger tu cadena de suministro de software.