Überblick
Eine Container Registry ist ein Repository oder eine Sammlung von Repositories, in der Container Images gespeichert werden und auf diese Images zugegriffen werden kann. Container Registries können die containerbasierte Anwendungsentwicklung unterstützen, was häufig im Rahmen von DevOps-Prozessen geschieht. Container Registries können eine direkte Verbindung zu Container-Orchestrierungsplattformen wie Docker und Kubernetes herstellen.
Container Registries sparen Entwicklungsteams wertvolle Zeit bei der Erstellung und Bereitstellung cloudnativer Anwendungen, da sie als Vermittler für die gemeinsame Nutzung von Container Images zwischen Systemen fungieren.
Eine Basis für cloudnative Anwendungen
Laut der Cloud Native Computing Foundation bilden Microservices und Container (einschließlich Container Images und Registries) zusammen die Basis der cloudnativen Anwendungsentwicklung. Container und Microservices sind eigenständig und dadurch ein leistungsstarkes Tool für die Entwicklung portabler, cloudnativer Anwendungen.
Container isolieren die Anwendungsprozesse, Runtime-Dateien und Betriebssystemabhängigkeiten vom Rest des Systems. Sie versprechen eine größere Portierbarkeit in Hybrid Cloud-Umgebungen und können für viel kürzere Zeiträume bereitgestellt werden als virtuelle Maschinen (VMs). Dies erleichtert es Entwicklungsteams, die benötigten Daten in eine Container Registry zu übertragen und aus ihr abzurufen. So können sie sich auf die Entwicklung guter Produkte konzentrieren, ohne sich von zugrunde liegenden Infrastruktur- oder Ausführungsdetails ablenken zu lassen.
In einer DevOps-Umgebung können Entwicklerinnen und Entwickler durch die Verwendung von Containern – und Container Images/Registries – Anwendungsservices unabhängig bereitstellen. Dadurch müssen sie keine Codeänderungen mehr zusammenführen, verbessern Tests und vereinfachen die Fehlerisolierung in Test- und Produktivumgebungen.
Öffentliche im Vergleich zu privaten Registries
Es gibt zwei Arten von Container Registries: öffentliche und private.
Öffentliche Registries werden häufig von Einzelpersonen oder kleinen Teams verwendet, die ihre Registry so schnell wie möglich einrichten möchten. Wenn die Organisation dann wächst, kann es dabei jedoch zu komplexen Sicherheitsproblemen in Bereichen wie Patching, Datenschutz und Zugriffskontrolle kommen.
Private Registries bieten die Möglichkeit, Sicherheit und Datenschutz in den Image Storage von unternehmensgerechten Containern zu integrieren, die entweder remote oder lokal gehostet werden. Diese privaten Registries bieten häufig erweiterte Sicherheitsfunktionen und technischen Support.
Die meisten Cloud-Anbieter stellen private Image-Registry-Services bereit: Google bietet die Google Container Registry, AWS bietet die Amazon Elastic Container Registry (ECR) und Microsoft die Azure Container Registry.
Worauf Sie bei einer privaten Container Registry achten sollten
Die Verwendung einer privaten, internen Registry bietet das größte Sicherheits- und Konfigurationspotenzial, erfordert jedoch eine sorgfältige Verwaltung. Außerdem sollten Sie sicherstellen, dass die Infrastruktur und Zugriffskontrollen der Registry in Ihrem Unternehmen verbleiben.
Bei der Auswahl eines privaten Container-Registry-Service für Ihr Unternehmen sollten Sie u. a. auf Folgendes achten:
Unterstützung für mehrere Authentifizierungssysteme
RBAC-Management (Role-based Access Control) für lokale Images
Schwachstellen-Scanning für mehr Sicherheit und erweiterte Konfigurationen
Erfassung der Nutzung in auditierbaren Protokollen zwecks Rückführung der Aktivitäten auf individuelle Nutzende
Optimierung für eine Automatisierung
Die unternehmensgerechten Features einer privaten Registry ermöglichen Unternehmen den sicheren und effizienten internen Zugriff auf Container Images. Mehrere Authentifizierungssysteme richten Maßnahmen ein, um das in der Registry gespeicherte Container Image zu verifizieren.
So muss das Image etwa von der Person, die es hochlädt, digital signiert werden, bevor es an die Registry übertragen werden kann, um die Aktivitätsverfolgung zu aktivieren und nicht autorisierte Uploads durch Nutzende zu verhindern.
Mithilfe von RBAC können Sie verwalten, welche Benutzeraktionen je nach Rolle der Person zulässig sind. Entwicklerinnen und Entwickler benötigen beispielsweise Zugriff zum Hochladen in die und/oder zum Herunterladen aus der Registry, Teammitglieder oder Testerinnen und Tester brauchen jedoch lediglich Zugriff zum Herunterladen. Für Organisationen mit einem Benutzerverwaltungssystem wie AD (Active Directory) oder LDAP (Lightweight Directory Access Protocol) kann dieses System direkt mit der Container Registry verknüpft und für RBAC verwendet werden.
Eine Red Hat Container Registry
Ein Unternehmen kann entweder eine eigene Container Registry entwickeln und bereitstellen oder einen kommerziell unterstützten privaten Registry-Service verwenden.
Red Hat® OpenShift® ist eine unternehmensgerechte Kubernetes-Container-Plattform, mit der Sie für Konsistenz in den verschiedensten Cloud-Infrastrukturen sorgen und Hybrid Cloud-, Multi-Cloud- und Edge-Deployments verwalten können. Mit Red Hat OpenShift lässt sich eine Umgebung für neue Microservices oder Anwendungen in wenigen Minuten bereitstellen. Neben anderen Cloud-Services wie Middleware, Sprachen, Frameworks und Datenbanken enthält es bereits eine private Registry, die grundlegende Funktionen zur Verwaltung von Container Images bietet.
Private Registries können als Teil eines von Red Hat OpenShift gemanagten Services mit einem Cloud-Anbieter aus dem umfassenden Partnernetzwerk von Red Hat bereitgestellt werden und bieten ein nahtloses IT-Erlebnis auf Azure, Amazon Web Services (AWS), IBM Cloud oder Google Cloud. Red Hat OpenShift unterstützt außerdem die Integration mit anderen privaten Registries, die Sie möglicherweise bereits verwenden, wie Artifactory von JFrog oder Sonatype Nexus.
Red Hat bietet auch selbst gemanagte Services auf Hybrid Cloud-Basis mit verbesserten Sicherheitsfunktionen und zusätzlichen Softwareelementen für Ihr Rechenzentrum. Wenn Sie eine Registry mit erweiterten Sicherheits- und technischen Supportfunktionen benötigen, ist Red Hat Quay als skalierbare unternehmensgerechte Standalone-Option verfügbar.