Un Container Registry es un almacén desde el que publicamos y descargamos imágenes de contenedor.
Docker Hub es el registro por defecto, pero existen alternativas públicas y privadas (self-hosted) que ofrecen más control, permisos más finos o mejor integración con vuestra infraestructura.
La estrategia estándar de la industria es subir la imagen a Docker Hub y luego descargarla en el servidor.
A medida que tu proyecto o tu empresa crece, empiezas a notar ciertas limitaciones. Docker Hub es muy cómodo, pero tiene sus sombras:
- Privacidad y Control: Estás alojando el núcleo de tu negocio (el código compilado y empaquetado de tu aplicación) en los servidores de una empresa de terceros.
- Límites de peticiones (Rate Limits): Si descargas imágenes con mucha frecuencia (por ejemplo, en un entorno de integración continua o CI/CD), puedes encontrarte con límites o con el famoso error
toomanyrequests. - Costes a escala: Los repositorios privados ilimitados y la gestión de permisos granulares para equipos grandes requieren planes de pago que pueden escalar rápido.
Si quieres buscar alternativas, tienes dos grandes caminos: apoyarte en ecosistemas cloud que ya utilizas, o montar tu propio registro privado (self-hosted). Vamos a ver las opciones más habituales.
Alternativas Cloud
Si no quieres mantener la infraestructura del servidor tú mismo, pero buscas escapar de los límites de Docker Hub y aprovechar plataformas donde ya alojas tu código fuente, estas son las opciones más cómodas:
La evolución natural. Si ya tienes tu código alojado en GitHub, usar su propio registro de contenedores es casi un paso obligatorio.
- Ventajas: Integración perfecta con GitHub Actions. Las imágenes pueden estar vinculadas directamente a tus repositorios de código. Los repositorios públicos son 100% gratis y sin límites de descarga, y los privados tienen una cuota generosa incluida en la cuenta gratuita.
- ¿Cómo se usa?: Simplemente te autenticas (
docker login ghcr.io) y subes la imagen con ese prefijo:docker push ghcr.io/tu-usuario/mi-app:v1.
Si tu equipo o empresa utiliza GitLab, no busques más. Cada proyecto en GitLab viene con su propio registro de contenedores habilitado “de fábrica”.
- Ventajas: La gestión de permisos está completamente unificada. Si un desarrollador tiene acceso al repositorio del código, automáticamente tiene acceso a sus imágenes Docker. Es ideal para automatizaciones internas.
Si tu servidor de producción o infraestructura principal está en Amazon Web Services (AWS), Google Cloud o Azure, lo lógico es usar sus registros nativos.
- Ventajas: El tráfico de red entre el registro y tu servidor suele ser ultrarrápido y, en muchos casos, gratuito (porque los datos no salen de su red troncal). Además, se integra de forma milimétrica con sus estrictas políticas de seguridad y roles corporativos.
Alternativas Self-Hosted
Si tu filosofía es el “Zero-Trust” (confianza cero en terceros) o trabajas en entornos institucionales donde el código bajo ninguna circunstancia puede salir de vuestra propia red local (Air-Gapped), necesitas alojar el registro en tu propio servidor.
Harbor es un proyecto de código abierto de nivel empresarial (donado a la CNCF). Es la herramienta definitiva si quieres montar un “Docker Hub Privado” en tus propios servidores con todo el arsenal de seguridad.
- Escaneo de Vulnerabilidades: Harbor no solo guarda tus imágenes. Cada vez que subes una, la escanea automáticamente buscando agujeros de seguridad conocidos (CVEs) usando herramientas como Trivy. Puedes bloquear descargas si detecta un riesgo crítico.
- Firma digital: Permite firmar criptográficamente tus imágenes para garantizar que nadie las ha alterado.
- Gestión total: Cuenta con una interfaz web excelente, control de usuarios basado en roles (RBAC), gestión de proyectos y cuotas de disco para evitar que el servidor se llene.
Es la implementación oficial, libre y básica proporcionada por la propia compañía Docker (la imagen registry:2).
- Ventajas: Se levanta en cuestión de segundos con un simple comando (
docker run -d -p 5000:5000 registry:2). Es extremadamente ligero. - Contras: Es totalmente espartano. No tiene interfaz gráfica (se controla por API), ni gestión nativa de usuarios compleja, ni escáner de seguridad. Sirve muy bien para una red casera pequeña, pero se queda corto para un entorno empresarial.
¿Cuál deberías elegir?
- Para proyectos personales y código abierto: GitHub Container Registry (GHCR) es el estándar actual más cómodo.
- Para empresas en la nube: El registro nativo de tu proveedor de Cloud (AWS, Azure, GCP).
- Para máxima privacidad, seguridad y control interno total: Harbor instalado en un servidor de tu propiedad.
