Container Registry est obsolète et son abandon est planifié. Depuis le 15 mai 2024, Artifact Registry héberge les images pour le domaine gcr.io dans les projets qui n'utilisaient pas Container Registry précédemment. Après le 18 mars 2025, Container Registry sera arrêté.

Pour commencer à gérer des conteneurs sur Google Cloud, utilisez Artifact Registry. Si vous utilisez Container Registry, découvrez comment passer à Artifact Registry pour gérer vos conteneurs sur Google Cloud.

Pour en savoir plus sur l'abandon et l'arrêt, consultez la page Abandons et les notes de version.

Cette page a été traduite par l'API Cloud Translation.

Bonnes pratiques pour les conteneurs

Cette page présente les bonnes pratiques à suivre pour créer et exécuter des images de conteneurs.

Créer des conteneurs

L'approche que vous adoptez pour créer des images de conteneur peut avoir un impact sur la vitesse des builds et des déploiements, ainsi que sur les efforts nécessaires pour assurer la maintenance de vos images.

Consultez les bonnes pratiques de Docker concernant la création d'images.

Éléments à prendre en compte pour les registres publics

Examinez attentivement les cas suivants:

Utiliser des images provenant de sources publiques

Lorsque vous utilisez des images provenant de sources publiques telles que Docker Hub, vous introduisez du code que votre organisation ne contrôle pas dans votre chaîne d'approvisionnement logicielle. Pour atténuer les risques, vous pouvez:

Créez vos propres images pour contrôler leur contenu.
Utilisez une image de base standardisée et créez-y votre application.
Analysez les images pour détecter les failles et corrigez-les.
Appliquez des normes et des règles aux images que vous déployez.

Rendre vos registres publics

Vous pouvez rendre le registre de votre projet Google Cloud public en accordant à l'identité allUsers un accès en lecture au bucket de stockage du registre.

Si tous vos utilisateurs disposent de comptes Google Cloud, vous pouvez limiter l'accès aux utilisateurs authentifiés avec l'identité allAuthenticatedUsers.

Tenez compte des consignes suivantes avant de rendre un registre public:

Vérifiez que toutes les images que vous stockez dans le Registre peuvent être partagées publiquement et qu'elles n'exposent pas d'identifiants, de données à caractère personnel ni de données confidentielles.
Des frais de sortie réseau vous sont facturés lorsque les utilisateurs extraient des images. Si vous prévoyez un trafic de téléchargement Internet important, tenez compte des coûts associés.
Par défaut, les projets ont un quota par utilisateur illimité. Pour éviter les utilisations abusives, limitez le quota par utilisateur dans votre projet.

Supprimer les images inutilisées

Supprimez les images de conteneur inutilisées pour réduire les coûts de stockage et atténuer les risques liés à l'utilisation de logiciels plus anciens. Plusieurs outils sont disponibles pour vous aider à accomplir cette tâche, y compris gcr-cleaner. L'outil gcr-cleaner n'est pas un produit Google officiel.

Évaluer la sécurité des conteneurs

Le CIS (Center for Internet Security) dispose d'un benchmark Docker permettant d'évaluer la sécurité d'un conteneur Docker.

Docker fournit un script Open Source appelé Docker Bench for Security. Vous pouvez exécuter ce script pour vérifier qu'un conteneur Docker en cours d'exécution respecte certains critères du benchmark Docker du CIS.

Le script Docker Bench for Security vous permet de vérifier de nombreux éléments dans le benchmark Docker du CIS. Cependant, tous les éléments ne sont pas vérifiables avec le script. Par exemple, le script ne peut pas vérifier si l'hôte du conteneur est renforcé ou si l'image du conteneur inclut des données à caractère personnel. Examinez tous les éléments du benchmark et identifiez ceux qui peuvent nécessiter une validation supplémentaire.

Sécuriser les déploiements

Découvrez comment créer une chaîne d'approvisionnement logicielle sécurisée et comment utiliser l'analyse des failles et l'autorisation binaire sur Google Cloud pour définir et appliquer des règles de déploiement.

Vous pouvez également regarder une vidéo qui décrit comment sécuriser votre chaîne d'approvisionnement logicielle.