Domina herramientas y mejores prácticas de DevOps - DevOps Knowledge Hub Domina herramientas y mejores prácticas de DevOps - DevOps Knowledge Hub

Mejores prácticas para gestionar imágenes Docker con Pull y Push

Aprende las mejores prácticas para gestionar imágenes Docker usando `docker pull` y `docker push`. Esta guía cubre flujos de trabajo eficientes para obtener, etiquetar y subir imágenes a registros, optimizar el tamaño de la imagen, asegurar la reproducibilidad con etiquetas específicas e integrar con pipelines de CI/CD. Mejora tu estrategia de gestión de imágenes Docker para un desarrollo y despliegue más fluidos.

Mejores Prácticas para Gestionar Imágenes Docker con Pull y Push

Las imágenes Docker mueven tu aplicación desde un portátil hasta CI y producción, pero los hábitos descuidados de pull y push pueden hacer que los despliegues sean impredecibles. Si confías en etiquetas flotantes, omites las comprobaciones de autenticación del registro o subes imágenes sin un plan de nombres, puedes desplegar la compilación incorrecta incluso cuando cada comando se ejecuta correctamente.

Estas mejores prácticas para gestionar imágenes Docker con docker pull y docker push se centran en etiquetas reproducibles, flujos de trabajo seguros de registro y comandos simples que puedes usar en scripts y pipelines CI/CD.

Entendiendo docker pull

El comando docker pull es tu puerta de entrada para acceder al vasto ecosistema de imágenes Docker preconstruidas disponibles en los registros. Descarga una imagen o una etiqueta específica de un registro a tu demonio Docker local. Este es el primer paso cuando necesitas usar una imagen existente como base para tu propia aplicación o cuando ejecutas un servicio que depende de una imagen de contenedor específica.

Uso Básico

La forma más directa de usar docker pull es especificando el nombre de la imagen, opcionalmente seguido de una etiqueta:

docker pull <nombre_imagen>[:<etiqueta>]

Ejemplos:

  • Obtener la etiqueta latest de Ubuntu:

    docker pull ubuntu

    Esto descarga la imagen etiquetada como latest, que es el valor predeterminado si no se especifica ninguna etiqueta. Trátala como una etiqueta de conveniencia, no como un pin de producción.

  • Obtener una versión específica de Alpine Linux:

    docker pull alpine:3.18

    Esto asegura que obtengas un entorno de compilación reproducible.

  • Obtener una imagen de un registro específico:

    docker pull registry.example.com/my-app:v1.2

    Si estás usando un registro privado o un registro que no sea Docker Hub, deberás incluir el nombre de host del registro.

Mejores Prácticas para docker pull

  • Siempre especifica una etiqueta: Confiar en latest puede llevar a un comportamiento inesperado porque el propietario de un registro puede mover esa etiqueta en cualquier momento. Las etiquetas explícitas como alpine:3.18 o nginx:1.25-alpine hacen que las compilaciones sean más fáciles de repetir.
  • Usa referencias inmutables para producción: Las etiquetas son amigables para los humanos, pero pueden sobrescribirse. Para despliegues estrictos de producción, despliega una etiqueta probada más el digest de la imagen, como nginx:1.25-alpine@sha256:<digest>.
  • Limpia las imágenes no utilizadas: Poda regularmente tu caché de imágenes local usando docker image prune para liberar espacio en disco. Las imágenes que obtienes pueden consumir un almacenamiento significativo.
  • Comprende las capas de la imagen: Las imágenes Docker se construyen en capas. Cuando obtienes una imagen, estás descargando estas capas. Docker almacena en caché estas capas localmente de manera inteligente, por lo que si obtienes una imagen que comparte capas con una que ya tienes, solo se descargarán las nuevas capas, haciendo que las obtenciones posteriores sean más rápidas.

Entendiendo docker push

El comando docker push se utiliza para subir tus imágenes Docker construidas localmente o modificadas a un registro de contenedores. Esto es esencial para compartir tus imágenes con colaboradores, desplegarlas en plataformas en la nube o almacenarlas como copias de seguridad.

Uso Básico

Para subir una imagen, debe estar etiquetada apropiadamente con el nombre de host del registro, tu nombre de usuario (o nombre de la organización), el nombre de la imagen y una etiqueta.

docker push <nombre_imagen>[:<etiqueta>]

Requisitos previos:

  1. Debes haber iniciado sesión en el registro al que pretendes subir usando docker login.
  2. La imagen debe estar etiquetada correctamente para el registro de destino.

Etiquetado para Subir

Antes de poder subir una imagen, necesitas etiquetarla con la ruta completa al repositorio de destino en el registro. El formato estándar es:

<nombre_host_registro>/<nombre_usuario_u_organización>/<nombre_imagen>:<etiqueta>

Si estás subiendo a Docker Hub, el nombre_host_registro generalmente se omite y el formato se convierte en <nombre_usuario>/<nombre_imagen>:<etiqueta>.

Flujo de Trabajo de Ejemplo:

Supongamos que has construido una imagen llamada my-app y quieres subirla a tu cuenta de Docker Hub (myusername) con la etiqueta v1.0.

  1. Construye tu imagen (si aún no lo has hecho):

    docker build -t my-app .

  2. Etiqueta la imagen para Docker Hub:

    docker tag my-app:latest myusername/my-app:v1.0

    Nota: Estamos etiquetando la compilación latest de my-app a la ruta específica del registro myusername/my-app:v1.0.

  3. Inicia sesión en Docker Hub:

    docker login

Usa un token de acceso de Docker Hub o el flujo de token recomendado por tu registro en lugar de escribir una contraseña de cuenta en la automatización.

  1. Sube la imagen etiquetada:
    docker push myusername/my-app:v1.0

Mejores Prácticas para docker push

  • Etiqueta con significado: Usa etiquetas descriptivas (por ejemplo, números de versión, nombres de lanzamiento, staging, production) en lugar de solo latest. Esto facilita la identificación y gestión de versiones específicas de tu imagen.
  • Usa más de una etiqueta cuando sea útil: Una imagen de lanzamiento puede tener etiquetas tanto 1.4.2 como git-3f2a9c1. La versión ayuda a los humanos; el SHA del commit apunta al código fuente.
  • Escanea imágenes en busca de vulnerabilidades: Antes de subir, especialmente a repositorios públicos o entornos sensibles, considera escanear tus imágenes en busca de vulnerabilidades conocidas usando herramientas como Docker Scout o escáneres de terceros.
  • Minimiza el tamaño de la imagen: Las imágenes más pequeñas son más rápidas de subir y obtener. Optimiza tu Dockerfile para reducir el tamaño de la imagen (por ejemplo, usa compilaciones de múltiples etapas, limpia archivos intermedios, usa imágenes base mínimas como Alpine).
  • Usa registros privados para datos sensibles: Para código propietario o configuraciones sensibles, usa siempre un registro privado y gestiona los controles de acceso de manera apropiada.
  • Automatiza el etiquetado y la subida: Integra el etiquetado y la subida de imágenes en tu pipeline CI/CD para compilaciones y despliegues automatizados.

Escenarios Avanzados y Consejos

Obtener y Subir Múltiples Etiquetas

Por defecto, docker pull y docker push operan en una referencia de imagen. Puedes etiquetar el mismo ID de imagen más de una vez y subir cada etiqueta. Algunas versiones de Docker también admiten docker image push --all-tags <repositorio> cuando deseas intencionalmente subir todas las etiquetas locales para un repositorio.

Ejemplo: Subir una imagen con múltiples etiquetas

# Añade una etiqueta 'latest' que apunte al mismo ID de imagen
docker tag myusername/my-app:v1.0 myusername/my-app:latest

# Sube la nueva etiqueta 'latest'
docker push myusername/my-app:latest

Autenticación para Registros Privados

Para registros privados (como AWS ECR, Google GCR, Azure ACR o registros autogestionados), necesitarás autenticarte antes de poder obtener o subir.

# Ejemplo para Docker Hub
docker login

# Ejemplo para AWS ECR (a menudo usa un comando auxiliar)
aws ecr get-login-password --region <región> | docker login --username AWS --password-stdin <id_cuenta_aws>.dkr.ecr.<región>.amazonaws.com

Consulta siempre la documentación de tu registro específico para el método de autenticación correcto.

Capas de Imagen y Almacenamiento en Caché

El sistema de archivos en capas de Docker mantiene las obtenciones eficientes. Cuando obtienes una imagen, Docker verifica su almacén de contenido local en busca de capas existentes y descarga solo las capas que aún no tiene. Durante docker build, BuildKit también puede reutilizar capas en caché de compilaciones anteriores cuando las instrucciones del Dockerfile y las entradas no han cambiado.

Mantener las Imágenes Actualizadas

Obtén regularmente las imágenes base y reconstruye tus imágenes de aplicación para incorporar parches de seguridad y actualizaciones.

# Obtén la imagen base más reciente
docker pull python:3.11-slim

# Reconstruye tu imagen de aplicación usando la base actualizada
docker build -t myusername/my-app:v1.1 .

# Sube la nueva versión
docker push myusername/my-app:v1.1

Conclusión Práctica

Para el trabajo diario, mantén el flujo de trabajo aburrido: obtén etiquetas de imagen base explícitas, construye con una etiqueta de versión y commit, escanea el resultado, inicia sesión con un token, luego sube solo las referencias que pretendes desplegar. Para producción, registra el digest que pasó las pruebas para que la misma imagen pueda obtenerse más tarde incluso si una etiqueta mutable cambia.