Konto Anmelden
Jump to section

Was ist eine Container-Registry?

URL kopieren

Eine Container-Registry ist ein Repository oder eine Sammlung von Repositories, in denen Container-Images für Kubernetes, DevOps und die containerbasierte Anwendungsentwicklung gespeichert werden. 

Ein Container-Image ist eine Kopie eines Containers — den Dateien und Komponenten, aus denen eine Anwendung besteht — die zur schnellen Skalierung multipliziert oder bei Bedarf in andere Systeme verschoben werden kann. Container-Images bilden eine Art Vorlage, mit der neue oder vorhandene Apps erstellt und/oder erweitert und skaliert werden können.

Wenn Sie mit Container-Images arbeiten, müssen Sie sie während der Erstellung speichern und/oder darauf zugreifen können. Und genau hier kommt die Container-Registry ins Spiel. Sie fungiert im Wesentlichen als Speicherort für Container-Images und deren Freigabe durch das Hochladen (Pushing) und Herunterladen (Pulling). Wenn das Image zu einem anderen System verschoben wird, kann dort auch die darin enthaltene ursprüngliche Anwendung ausgeführt werden. 

Neben Container-Images werden in Registries auch API-Pfade und Zugriffskontrollparameter gespeichert. 

Es gibt zwei Arten von Container-Registries: öffentliche und private. 

Öffentliche Registries eignen sich hervorragend für Einzelpersonen oder kleine Teams, die ihre Registry so schnell wie möglich einrichten möchten. Sie bieten lediglich grundlegende Funktionen und sind einfach zu verwenden. 

Neue und kleinere Unternehmen können Standard- und Open Source-Images als Basis nutzen und nach Bedarf erweitern. Bei diesem Prozess können jedoch Sicherheitsprobleme in Bereichen wie Patching, Datenschutz und Zugriffskontrolle auftreten. 

Private Registries bieten die Möglichkeit, Sicherheit und Datenschutz in den Image Storage von unternehmensfähigen Containern zu integrieren, die entweder remote oder lokal gehostet werden. Das jeweilige Unternehmen kann dann entweder eine eigene Container-Registry entwickeln und bereitstellen oder einen kommerziell unterstützten privaten Registry-Service verwenden. Diese privaten Registries bieten häufig erweiterte Sicherheitsfunktionen und technischen Support. Ein gutes Beispiel hierfür ist Red Hat® Quay.

Ein großer Vorteil einer privaten Container-Registry besteht darin, dass Sie kontrollieren können, welche Personen auf welche Ressourcen zugreifen können, bei Bedarf nach Schwachstellen und Patches suchen und die Authentifizierung von Images und Nutzern anfordern können. 

Bei der Auswahl eines privaten Container-Registry-Service für Ihr Unternehmen sollten Sie auf Folgendes achten:

  • Unterstützung für mehrere Authentifizierungssysteme
  • Role-Based Access Control (RBAC)
  • Funktionen für das Schwachstellen-Scanning
  • Erfassung der Nutzung in auditierbaren Protokollen zwecks Rückführung der Aktivitäten auf individuelle Nutzer
  • Optimierung für eine Automatisierung

Die rollenbasierte Zugriffskontrolle (RBAC) ermöglicht die Zuweisung von Funktionen basierend auf Benutzerrollen innerhalb der Registry. So benötigen Entwickler beispielsweise Zugriff zum Hochladen in die und/oder zum Herunterladen aus der Registry, Teammitglieder oder Tester jedoch lediglich Zugriff zum Herunterladen. 

Für Organisationen mit einem Nutzerverwaltungssystem wie AD oder LDAP kann dieses System direkt mit der Container-Registry verknüpft und für RBAC verwendet werden. 

Eine private Registry verhindert, dass Images mit Schwachstellen oder von nicht autorisierten Nutzern in das System eines Unternehmens gelangen. Mithilfe regelmäßiger Scans können Sie nach Sicherheitsproblemen suchen und diese bei Bedarf patchen.  

Eine private Registry ermöglicht darüber hinaus die Einrichtung von Authentifizierungsmaßnahmen, um die darin gespeicherten Container-Images zu überprüfen. Bei solchen Maßnahmen müssen Images vor dem Hochladen in die Registry durch den jeweiligen Nutzer digital signiert werden. Dadurch kann diese Aktivität verfolgt sowie das Hochladen verhindert werden, falls der Nutzer keine entsprechende Berechtigung besitzt. Images können dazu in verschiedenen Phasen mit Tags versehen werden, um auf die sie gegebenenfalls zurückgesetzt werden können.

Red Hat® Quay ist eine private Container-Image-Registry, mit der Sie Container mit dem erforderlichen Storage erstellen, verteilen und bereitstellen können, den Sie für eine schnelle Skalierung benötigen. Dabei werden Ihre Images mithilfe von Clair auf Sicherheitslücken analysiert sowie potenzielle Probleme identifiziert und behoben, bevor sie zu Sicherheitsrisiken werden. 

Red Hat Quay stellt sicher, dass Ihre Apps mit leistungsstarken Zugriffs- und Authentifizierungseinstellungen, die Sie kontrollieren können, privat gespeichert werden. Dazu bietet es folgende Funktionen und Vorteile:

  • Kompatibilität mit mehreren Storage Backends und Identitätsanbietern
  • Protokolle und Audits
  • Eine flexible und erweiterbare API
  • Intuitive Benutzeroberfläche (UI)
  • Eine Zeitmaschine, mit der Benutzer bis zu zwei Wochen lang alle Tags im Repository anzeigen und auf einen vorherigen Status zurücksetzen können
  • Automatische Software-Bereitstellungen mit Robot Accounts
  • BitTorrent-Downloads zur Verkürzung der Wartezeiten
  • Geosynchrone Replikation zwecks Redundanz und Erhöhung der Download-Geschwindigkeit
  • Automatische und kontinuierliche Speicherbereinigung für Images, um eine effiziente Ressourcennutzung für aktive Objekte zu gewährleisten und Ausfallzeiten oder die Notwendigkeit des schreibgeschützten Modus zu vermeiden

Red Hat Quay wird darüber hinaus vom Red Hat Team aus technischen Experten und Support-Services unterstützt, die auf jahrzehntelange Erfahrungen im Bereich Kundenservice für Unternehmen zurückgreifen können.

Weiterlesen

ARTIKEL

Zustandsbehaftet oder zustandslos?

Ob etwas zustandsbehaftet oder zustandslos ist, hängt davon ab, wie lange der Zustand der Interaktion erfasst wird und wie diese Informationen gespeichert werden müssen.

ARTIKEL

Was ist Quarkus?

Quarkus ist ein Kubernetes-nativer Java Stack für Java Virtual Machines (JVMs) und native Kompilierung, mit dem Java speziell für Container optimiert wird.

ARTIKEL

Was ist Serverless?

Der Begriff „Serverless" (serverlos) bezieht sich auf ein cloudnatives Entwicklungsmodell, bei dem Entwickler Anwendungen erstellen und ausführen können, ohne Server verwalten zu müssen.

Mehr über cloudnative Anwendungen erfahren

Produkte

Red Hat OpenShift

Eine unternehmensfähige Kubernetes-Container-Plattform, auf der Operationen für den gesamten Stack automatisiert werden, um Hybrid Clouds, Multi-Clouds und Edge-Deployments noch einfacher verwalten zu können.

Ressourcen

Training

Kostenloses Training

Developing Cloud-Native Applications with Microservices Architectures

Illustration - mail

Möchten Sie mehr zu diesen Themen erfahren?

Abonnieren Sie unseren kostenlosen Newsletter, Red Hat Shares.