Apa itu container registry?
Container registry adalah kumpulan repositori yang dirancang untuk menyimpan container image. Sebuah container image adalah file yang terdiri dari beberapa layer dan dapat mengeksekusi aplikasi dalam satu instance. Selama proses pengembangan aplikasi, developer harus memiliki akses ke semua container image yang diperlukan untuk aplikasi mereka. Menyimpan semua image dalam satu lokasi memungkinkan pengguna untuk melakukan commit, mengidentifikasi, dan menarik (pull) image sesuai kebutuhan.
Seorang pengguna dapat bertindak sebagai host untuk container image dengan menempatkan image ke dalam container registry agar dapat digunakan oleh orang lain. Jika suatu organisasi meng-host native cloud application, maka menggunakan container registry bisa menjadi pilihan yang baik.
Perbedaan antara repository dan registry
Istilah repository dan registry sering kali membingungkan dalam konteks container. Container repository digunakan untuk menyimpan image yang saling terkait untuk proses setup dan deployment. Repository container dapat digunakan untuk mengelola, menarik (pull), atau mendorong (push) image.
Sementara itu, container registry menyimpan banyak repository dari container image, serta menyimpan jalur API dan aturan kontrol akses. Container registry juga dapat di-host secara publik atau privat.
Registry publik vs. privat
Container registry publik umumnya menjadi pilihan yang lebih cepat dan mudah ketika memulai sebuah registry. Registry publik sangat cocok untuk tim kecil yang lebih banyak memanfaatkan image standar dan open source dari registry publik. Registry publik juga dianggap lebih mudah digunakan, meskipun keamanannya lebih rendah dibandingkan registry privat.
Registry container privat dibuat dan dikelola oleh organisasi yang menggunakannya. Registry privat dapat di-host di cloud atau di on-premises dan lebih populer di kalangan perusahaan besar yang bergantung pada registry container. Dengan memiliki kontrol penuh atas registry, organisasi memiliki lebih banyak kebebasan dalam mengelolanya. Inilah alasan mengapa registry privat dianggap lebih aman—organisasi dapat menerapkan sebanyak mungkin langkah keamanan sesuai kebutuhan mereka.
Keamanan container
Container publik dianggap kurang aman karena setiap container image bisa saja mengandung kode berbahaya atau usang yang, jika tidak diperbaiki, dapat menyebabkan kebocoran data. Selain itu, sering kali tidak jelas siapa yang memiliki akses baca atau tulis ke sebuah image.
Jika prioritas organisasi adalah keamanan dalam pengelolaan container registry, maka mereka sebaiknya menggunakan registry privat. Pendekatan keamanan lain untuk container registry meliputi:
- Menerapkan role-based access control (RBAC).
- Melakukan pemindaian (scanning) untuk mendeteksi kerentanan dalam image.
- Menandatangani image secara digital untuk memastikan keasliannya.
- Menggunakan metode autentikasi seperti access token atau file JSON key, seperti yang digunakan dalam Google Container Registry.
- Menggunakan pengaturan Identity and Access Manager (IAM), seperti yang diterapkan dalam IBM Cloud Container Registry.
Penyedia layanan (vendors)
Organisasi dapat membuat dan menerapkan container registry mereka sendiri atau menggunakan layanan cloud. Beberapa opsi populer dari tiga penyedia cloud utama meliputi Google Cloud’s Container Registry (GCR), Azure Container Registry (ACR), dan Amazon Elastic Container Registry (ECR). Alternatif pihak ketiga mencakup Docker Hub, GitHub Container Registry, JFrog Container Registry, dan Red Hat Quay.