Ограничить push и pull для DTR доверенного реестра DTR

Question

В Docker EE, есть ли способ разрешить push и pull к DTR с определенных машин, сохраняя доступ к веб-интерфейсу на том же уровне, что и в обычном режиме?

• Вариант использования: мы хотели бы применитьиспользование стандартных базовых образов из DTR только в сборках Docker

• И мы хотели бы обеспечить сборку образов Docker только на стандартных машинах сборки Docker, где включено доверие к содержимому Docker

• Разрешены только эти команды: Docker Pull, Docker Build и Docker Push на CI-сервере

Эффективно предписывает пользователям использовать базовые образы только из DTR.Если они создадут образ где-то еще, они не смогут его выдвинуть, и если они построят его на нашем CI-сервере, он удостоверится, что сможет извлечь базовый образ только из DTR, а не откуда-то еще, это также убедитсяони строят его с включенным доверием контента докера.

Answer 1

Я столкнулся с аналогичным случаем использования, и ниже я поделюсь с вами информацией о том, как я ограничил периметр действия push-push на DTR:

• Настройка: кто имеет разрешениявыполнять определенные действия с объектами реестра и загружать изображения Docker через веб-интерфейс UCP;это приводит к предоставлению определенных грантов пользователям и / или командам.

• Конфигурирование: от , где пользователи (люди и / или роботы автоматизации) могут выполнять действия реестра,добавив определенные правила брандмауэра на сетевом уровне администратором сети.

• Ограничьте действия извлечения только из определенного реестра, обновите файл по следующему пути в файловой системе хоста Docker, / var / lib / docker / daemon.json добавление URL DTR:

    { 
      ... # some your custom Docker daemon configuration
      "registry-mirrors": ["https://your-registry-url"]
      ... # some other custom Docker daemon configuration
    }
  

Наконец, я получил: разрешить только для определенныхпользователи могут загружать образы Docker в репозитории DTR и только из местоположения, которое внесено в белый список сетевых ACL .

Некоторые ссылки:

• Как настроить Dockerдемон: https://docs.docker.com/engine/reference/commandline/dockerd/#daemon-configuration-file;

• Пример RBAC: https://success.docker.com/article/rbac-example-overview;

• Разрешения DTR по умолчанию, поддерживаемые RBAC Docker EE: https://docs.docker.com/ee/dtr/admin/manage-users/permission-levels/.