Разрешить использование докеров, но не докеров

Question

Разрешить использование докеров, но не докеров

Я пытаюсь убедить свое руководство разрешить использование Docker в организации, но они обеспокоены тем, что кто-то может создать образ и отправить его в свои частные репозитории.

Можно ли разрешить использование Docker, разрешить извлечение изображений, но отключить вход в систему и Docker push?

0

docker windows-10

Источник

14 июл '20 в 13:11

1 ответ

Решение

Другие вопросы по тегам docker windows-10

Henrik Pingel 14 июл '20 в 13:45 2020-07-14 13:45 · Accepted Answer · 2020-07-14 13:45

Реестра Docker использует HTTP API. docker push использует PUT, PUSH и PATCHhttp методы. Позволять docker pull и заблокировать docker push потребуется брандмауэр, который проверяет HTTP-запросы.

Но даже если docker push заблокирован брандмауэром, можно было бы использовать docker save для создания локального архива изображений, который затем можно сохранить на USB-накопитель или передать из сети компании по электронной почте и т. д.

Чтобы получить определенный уровень безопасности, можно рассмотреть возможность блокировки доступа к реестру docker.io для предотвращения случайных push-команд, запустить частный реестр и использовать только частный базовый образ.

В Linux вы можете настроить примерно так:

BLOCK_REGISTRY='--block-registry=all'
ADD_REGISTRY='--add-registry=registry.access.redhat.com'

Однако кажется, что эти настройки не были реализованы в Docker для Windows.