我正在尝试使用 Docker Content Trust 设置运行时强制,如此处所述:https ://docs.docker.com/engine/security/trust/content_trust/#runtime-enforcement-with-docker-content-trust 。
{
"content-trust": {
"mode": "enforced"
}
}
我可以进行设置,但问题是在我的情况下,信任服务器在单独的 URL/端口上运行,似乎无法在 docker daemon configuration 中指定信任服务器 url。我最好的猜测是,它期望信任服务器与注册表在相同的 url 上运行,这是默认的 docker 客户端行为(在我们的例子中,我们正在运行 Harbor,它使用的 helm 图表将信任服务器设置在与注册表不同的端口)
我尝试使用 DOCKER_CONTENT_TRUST_SERVER 环境变量,但是 docker daemon 的运行时强制选项几乎忽略了这一点(如果我在守护进程中关闭运行时强制并将其与 DOCKER_CONTENT_TRUST 一起使用,那么一切正常)。但是由于安全要求,以及需要使用与这些设置一起使用的签名的信任固定,我需要以某种方式进行设置。
有人可以指出,我在这里缺少什么,或者是否有另一种方法可以做到这一点?另外,我正在使用 Docker Enterprise(这是预期的,因为此功能仅在企业版中可用)