Docker

允許使用 docker,但不允許使用 docker push

  • July 14, 2020

我試圖說服我的管理層允許在組織中使用 Docker,但他們擔心有人會製作映像並將其推送到他們的私有儲存庫。

我們能否允許使用 Docker,允許拉取鏡像,但禁用 Docker 登錄和 Docker 推送?

Docker 系統資料庫使用HTTP API。docker push使用PUT,PUSHPATCHhttp 方法。允許docker pull和阻止docker push檢查 http 請求的防火牆解決方案是必要的。

但即使docker push被防火牆阻止,它仍然可以docker save用來創建本地圖像存檔,然後可以將其保存在 USB 記憶棒上或通過電子郵件等方式從公司網路中傳輸出去。

為了獲得某種程度的安全性,可以考慮阻止對 docker.io 系統資料庫的訪問以防止意外推送命令,執行私有系統資料庫並僅使用私有基礎映像。

在 Linux 上,您可以配置如下內容:

BLOCK_REGISTRY='--block-registry=all'
ADD_REGISTRY='--add-registry=registry.access.redhat.com'

但是,這些設置似乎尚未在Docker for Windows中實現

引用自:https://serverfault.com/questions/1025156