Anmelden / Registrieren Konto

Cloudnative Anwendungen

Was ist eine Container-Registry?

Jump to section

Eine Container-Registry ist ein Repository oder eine Sammlung von Repositories, in denen Container-Images für Kubernetes, DevOps und die containerbasierte Anwendungsentwicklung gespeichert werden. 

Container-Images

Ein Container-Image ist eine Kopie eines Containers — den Dateien und Komponenten, aus denen eine Anwendung besteht — die zur schnellen Skalierung multipliziert oder bei Bedarf in andere Systeme verschoben werden kann. Container-Images bilden eine Art Vorlage, mit der neue oder vorhandene Apps erstellt und/oder erweitert und skaliert werden können.

Wenn Sie mit Container-Images arbeiten, müssen Sie sie während der Erstellung speichern und/oder darauf zugreifen können. Und genau hier kommt die Container-Registry ins Spiel. Sie fungiert im Wesentlichen als Speicherort für Container-Images und deren Freigabe durch das Hochladen (Pushing) und Herunterladen (Pulling). Wenn das Image zu einem anderen System verschoben wird, kann dort auch die darin enthaltene ursprüngliche Anwendung ausgeführt werden. 

Neben Container-Images werden in Registries auch API-Pfade und Zugriffskontrollparameter gespeichert. 

Öffentliche oder private Container-Registries

Es gibt zwei Arten von Container-Registries: öffentliche und private. 

Öffentliche Registries eignen sich hervorragend für Einzelpersonen oder kleine Teams, die ihre Registry so schnell wie möglich einrichten möchten. Sie bieten lediglich grundlegende Funktionen und sind einfach zu verwenden. 

Neue und kleinere Unternehmen können Standard- und Open Source-Images als Basis nutzen und nach Bedarf erweitern. Bei diesem Prozess können jedoch Sicherheitsprobleme in Bereichen wie Patching, Datenschutz und Zugriffskontrolle auftreten. 

Private Registries bieten die Möglichkeit, Sicherheit und Datenschutz in den Image Storage von unternehmensfähigen Containern zu integrieren, die entweder remote oder lokal gehostet werden. Das jeweilige Unternehmen kann dann entweder eine eigene Container-Registry entwickeln und bereitstellen oder einen kommerziell unterstützten privaten Registry-Service verwenden. Diese privaten Registries bieten häufig erweiterte Sicherheitsfunktionen und technischen Support. Ein gutes Beispiel hierfür ist Red Hat® Quay.

Worauf Sie bei einer privaten Container-Registry achten sollten

Ein großer Vorteil einer privaten Container-Registry besteht darin, dass Sie kontrollieren können, welche Personen auf welche Ressourcen zugreifen können, bei Bedarf nach Schwachstellen und Patches suchen und die Authentifizierung von Images und Nutzern anfordern können. 

Bei der Auswahl eines privaten Container-Registry-Service für Ihr Unternehmen sollten Sie auf Folgendes achten:

  • Unterstützung für mehrere Authentifizierungssysteme
  • Role-Based Access Control (RBAC)
  • Funktionen für das Schwachstellen-Scanning
  • Erfassung der Nutzung in auditierbaren Protokollen zwecks Rückführung der Aktivitäten auf individuelle Nutzer
  • Optimierung für eine Automatisierung

Die rollenbasierte Zugriffskontrolle (RBAC) ermöglicht die Zuweisung von Funktionen basierend auf Benutzerrollen innerhalb der Registry. So benötigen Entwickler beispielsweise Zugriff zum Hochladen in die und/oder zum Herunterladen aus der Registry, Teammitglieder oder Tester jedoch lediglich Zugriff zum Herunterladen. 

Für Organisationen mit einem Nutzerverwaltungssystem wie AD oder LDAP kann dieses System direkt mit der Container-Registry verknüpft und für RBAC verwendet werden. 

Eine private Registry verhindert, dass Images mit Schwachstellen oder von nicht autorisierten Nutzern in das System eines Unternehmens gelangen. Mithilfe regelmäßiger Scans können Sie nach Sicherheitsproblemen suchen und diese bei Bedarf patchen.  

Eine private Registry ermöglicht darüber hinaus die Einrichtung von Authentifizierungsmaßnahmen, um die darin gespeicherten Container-Images zu überprüfen. Bei solchen Maßnahmen müssen Images vor dem Hochladen in die Registry durch den jeweiligen Nutzer digital signiert werden. Dadurch kann diese Aktivität verfolgt sowie das Hochladen verhindert werden, falls der Nutzer keine entsprechende Berechtigung besitzt. Images können dazu in verschiedenen Phasen mit Tags versehen werden, um auf die sie gegebenenfalls zurückgesetzt werden können.

Eine Red Hat Container-Registry

Red Hat® Quay ist eine private Container-Image-Registry, mit der Sie Container mit dem erforderlichen Storage erstellen, verteilen und bereitstellen können, den Sie für eine schnelle Skalierung benötigen. Dabei werden Ihre Images mithilfe von Clair auf Sicherheitslücken analysiert sowie potenzielle Probleme identifiziert und behoben, bevor sie zu Sicherheitsrisiken werden. 

Red Hat Quay stellt sicher, dass Ihre Apps mit leistungsstarken Zugriffs- und Authentifizierungseinstellungen, die Sie kontrollieren können, privat gespeichert werden. Dazu bietet es folgende Funktionen und Vorteile:

  • Kompatibilität mit mehreren Storage Backends und Identitätsanbietern
  • Protokolle und Audits
  • Eine flexible und erweiterbare API
  • Intuitive Benutzeroberfläche (UI)
  • Eine Zeitmaschine, mit der Benutzer bis zu zwei Wochen lang alle Tags im Repository anzeigen und auf einen vorherigen Status zurücksetzen können
  • Automatische Software-Bereitstellungen mit Robot Accounts
  • BitTorrent-Downloads zur Verkürzung der Wartezeiten
  • Geosynchrone Replikation zwecks Redundanz und Erhöhung der Download-Geschwindigkeit
  • Automatische und kontinuierliche Speicherbereinigung für Images, um eine effiziente Ressourcennutzung für aktive Objekte zu gewährleisten und Ausfallzeiten oder die Notwendigkeit des schreibgeschützten Modus zu vermeiden

Red Hat Quay wird darüber hinaus vom Red Hat Team aus technischen Experten und Support-Services unterstützt, die auf jahrzehntelange Erfahrungen im Bereich Kundenservice für Unternehmen zurückgreifen können. 

Weitere Informationen über die Auswahl einer Container-Registry