
El registry enterprise de las imágenes de contenedores: escaneo, firma y geo-réplica de los contenidos que se vuelven producción.
Cada deploy parte de una imagen: Quay es el registry enterprise donde las imágenes viven gobernadas — escaneo continuo de vulnerabilidades (Clair), firma y procedencia, RBAC por equipo, geo-réplica entre sitios, mirroring de los registries públicos. La supply chain del software empieza aquí.


Docker Hub y quay.io replicados y escaneados: se depende de la propia despensa, no de internet.
Con ACS: solo las imágenes firmadas por el registry corporativo llegan a producción.
Tag lifecycle y garbage collection: el registry no se convierte en un vertedero.
El registry interno para los entornos aislados, sincronizado de forma controlada.
Quay sirve imágenes con RBAC por organización/equipo, robot accounts para las pipelines, cuotas por tenant; Clair escanea cada push y reevalúa las CVE nuevas sobre lo previo; la geo-replication mantiene los blobs cerca de los clústeres; los mirror repositories reflejan los registries públicos dentro; el tag lifecycle apaga la acumulación. La firma con cosign y las attestations cierran la cadena: solo lo firmado llega a producción.
La procedencia del software demostrable end-to-end.
Las imágenes replicadas junto a cada clúster.
Contenedores incluso donde internet no llega.