差异DOCKER_CONTENT_TRUST与内容信任

Question

正如我从Docker正式文档中了解到的，环境变量DOCKER_CONTENT_TRUST和deamon 内容-信任都防止使用无符号标记。如果我想限制使用无符号图像，最好的选择是什么？

Option1:出口DOCKER_CONTENT_TRUST=1

Option2: /etc/docker/daemon.json：{ "content-trust": { "mode": "enforced" } }

Answer 1

最好的选择是对docker守护进程(在守护进程的json配置文件中指定)使用内容信任(即运行时强制执行)。这样做更好，因为环境的最终用户不能仅仅通过将DOCKER_CONTENT_TRUST环境变量值设置为0和下载不安全的图像来禁用信任。

另一方面，这仅在docker企业中可用，因此如果您使用的是社区版本，则此选项将完全不可用，只需使用环境变量。