锁定码头注册中心

Question

我们在银行和金融环境中使用Docker，安全是最重要的--了解图像中的来源是至关重要的。

我们不希望开发人员从不受信任的地方下载图像，所以我们已经建立了一个内部注册表，在那里我们存储我们信任的图像。

开发人员机器是由策略管理的，因此我们能够远程锁定某些配置或功能。

我想我的问题的答案是“不”--但下面是这样说的：

• 是否有方法将Docker注册表url锁定到受信任的注册表并使其不能手动覆盖？

或者，

• 是否可以停止Docker运行未经指定证书签名的映像？(我认为EE码头可能能做到这一点。)

Answer 1

我与银行和金融领域的几个客户合作过。我所看到的是一种完全封闭的方法，节点无法访问互联网。如果他们真的必须使用互联网，HTTP_PROXY或HTTPS_PROXY变量就会被使用。来自停靠中心的所有所需映像都在它们的私有存储库中进行镜像。缺点是，每个简单的图像名称都需要以注册表信息作为前缀。

组织的所有策略都是使用代理服务器强制执行的。对Docker集线器的任何请求都受到限制。