Red Hat · Software · ficha YoctoIT

Quay

El registry enterprise de las imágenes de contenedores: escaneo, firma y geo-réplica de los contenidos que se vuelven producción.

FOCUS · LA DESPENSA DE LOS CONTENEDORESLas imágenes son software de producción: hay que custodiarlas como tal
Material YoctoIT para clientes y partners · Red Hat, RHEL, OpenShift, Ansible y los demás productos citados son marcas de Red Hat, Inc. o di sue affiliate.
01 · Qué es

Red Hat Quay, en claro.

Cada deploy parte de una imagen: Quay es el registry enterprise donde las imágenes viven gobernadas — escaneo continuo de vulnerabilidades (Clair), firma y procedencia, RBAC por equipo, geo-réplica entre sitios, mirroring de los registries públicos. La supply chain del software empieza aquí.

Clair
cada imagen escaneada en cada push y reevaluada con las CVE nuevas
Geo-replica
las imágenes cerca de cada clúster: pulls rápidos, DR incluido
Firma
sigstore/cosign: a producción va solo lo firmado
Red Hat Quay
IMAGEN OFICIAL RED HAT · QUAY
CONSOLE REALE · QUAY · FONTE: RED HAT DOCS
CONSOLA REAL · QUAY · FUENTE: RED HAT DOCS
02 · Cómo usarlo bien

Las cosas que marcan la diferencia.

La supply chain

Pipeline CI/CDbuild y push de las imágenes
Scan
Sign
Replicate
seguridad · confianza · disponibilidad
Registry QuayRBAC, cuotas, auditoría
Los clústeres que hacen pullsolo contenidos verificados
Del build al deploy, trazado

Mirror de los registries públicos

Docker Hub y quay.io replicados y escaneados: se depende de la propia despensa, no de internet.

Políticas de procedencia

Con ACS: solo las imágenes firmadas por el registry corporativo llegan a producción.

Limpieza automática

Tag lifecycle y garbage collection: el registry no se convierte en un vertedero.

Air-gap ready

El registry interno para los entornos aislados, sincronizado de forma controlada.

03 · En profundidad

Registry geo-replicado y supply chain

Quay sirve imágenes con RBAC por organización/equipo, robot accounts para las pipelines, cuotas por tenant; Clair escanea cada push y reevalúa las CVE nuevas sobre lo previo; la geo-replication mantiene los blobs cerca de los clústeres; los mirror repositories reflejan los registries públicos dentro; el tag lifecycle apaga la acumulación. La firma con cosign y las attestations cierran la cadena: solo lo firmado llega a producción.

  • Clair — escaneo en cada push + rescan con las CVE nuevas: lo previo no duerme
  • Geo-replication — los mismos tags servidos desde varias regiones: pulls rápidos y DR
  • Repo mirroring — Docker Hub/quay.io replicados y escaneados en casa
  • Robot account — credenciales para pipelines con permisos mínimos y rotación
  • Tag lifecycle — expiración y GC: el registry que no se convierte en vertedero
  • Cosign — firma y verificación en admission (con ACS): la procedencia demostrada
04 · Números y ciclo de vida

Los números que cuentan.

100%
de los pushes escaneados por Clair
N
sitios en geo-réplica: el pull siempre local
OCI
artefactos más allá de las imágenes: helm charts y SBOM
3.x
releases semestrales: el operador actualiza en rolling
El registry es la caja fuerte del software: mirroring, firma y limpieza automática — la supply chain arranca ordenada.
05 · Casos de uso

Dónde rinde de verdad.

Software supply chain

La procedencia del software demostrable end-to-end.

Multi-sitio

Las imágenes replicadas junto a cada clúster.

Entornos aislados

Contenedores incluso donde internet no llega.

La producción está hecha de imágenes: Quay las mantiene limpias, firmadas y disponibles — nosotros lo gestionamos.