Docker
允許使用 docker,但不允許使用 docker push
我試圖說服我的管理層允許在組織中使用 Docker,但他們擔心有人會製作映像並將其推送到他們的私有儲存庫。
我們能否允許使用 Docker,允許拉取鏡像,但禁用 Docker 登錄和 Docker 推送?
Docker 系統資料庫使用HTTP API。
docker push
使用PUT
,PUSH
和PATCH
http 方法。允許docker pull
和阻止docker push
檢查 http 請求的防火牆解決方案是必要的。但即使
docker push
被防火牆阻止,它仍然可以docker save
用來創建本地圖像存檔,然後可以將其保存在 USB 記憶棒上或通過電子郵件等方式從公司網路中傳輸出去。為了獲得某種程度的安全性,可以考慮阻止對 docker.io 系統資料庫的訪問以防止意外推送命令,執行私有系統資料庫並僅使用私有基礎映像。
在 Linux 上,您可以配置如下內容:
BLOCK_REGISTRY='--block-registry=all' ADD_REGISTRY='--add-registry=registry.access.redhat.com'
但是,這些設置似乎尚未在Docker for Windows中實現