限制对Docker Hub的访问

Question

我正在考虑使用Artifactory (因为我们已经在企业中拥有它)来存储我们创建的Docker图像。我希望使用docker-compose来配置和运行这些镜像。

如果可能，我想让开发人员无法从DockerHub中提取图像，但我看不到如何实现这一点。如果有人把

   postgres:
      image: "postgres:9.4"

在他们的撰写文件中，这将从docker集线器中拉出postgres图像。我想限制搜索的范围，以便只考虑我的本地存储库中的图像。我的理由是，有人可以授权我的本地存储库中的图像，这样我们就可以限制我们开放的漏洞数量。

这个是可能的吗？

这是个好主意吗？

Answer 1

你的方向是对的，正确的依赖管理是Artifactory希望缓解的痛苦之一--我建议你从阅读这篇关于你的确切问题的post开始，它解释了如何利用Artifactory来解决这个问题。

对于您的特定使用案例，您可以限制开发人员仅从本地存储库(或多个聚合到一个虚拟存储库)中提取仅包含“批准的”映像的内容(使用permission targes来限制对该存储库的访问).Or您可以在代理Docker Hub的远程存储库上设置include/exclude patterns -但我觉得这可能有点夸张，而且很容易出错，除非您有非常具体的映像需要限制。