0

正如我从 Docker 官方文档中了解到的那样,环境变量DOCKER_CONTENT_TRUST和 deamon config content-trust都阻止了未签名标签的使用。如果我想限制使用未签名的图像,最好的选择是什么?

选项1:导出 DOCKER_CONTENT_TRUST=1

选项2:/etc/docker/daemon.json: { "content-trust": { "mode": "enforced" } }

4

1 回答 1

1

最好的选择是将内容信任(即运行时强制)与 docker 守护程序(在守护程序的 json 配置文件中指定)一起使用。这是更可取的,因为您的环境的最终用户不能通过将 DOCKER_CONTENT_TRUST 环境变量值设置为 0 并下载不安全的图像来禁用信任。

另一方面,这仅在 docker 企业版中可用,因此如果您使用的是社区版,则此选项将根本不可用,您只能使用环境变量

于 2020-05-11T21:29:07.520 回答