docker - DOCKER_CONTENT_TRUST 与内容信任的区别
问题描述
正如我从 Docker 官方文档中了解到的那样,环境变量DOCKER_CONTENT_TRUST和 deamon config content-trust都阻止了未签名标签的使用。如果我想限制使用未签名的图像,最好的选择是什么?
选项1:导出 DOCKER_CONTENT_TRUST=1
选项2:/etc/docker/daemon.json:
{
"content-trust": {
"mode": "enforced"
}
}
解决方案
最好的选择是将内容信任(即运行时强制)与 docker 守护程序(在守护程序的 json 配置文件中指定)一起使用。这是更可取的,因为您的环境的最终用户不能通过将 DOCKER_CONTENT_TRUST 环境变量值设置为 0 并下载不安全的图像来禁用信任。
另一方面,这仅在 docker 企业版中可用,因此如果您使用的是社区版,则此选项将根本不可用,您只能使用环境变量
推荐阅读
- python - 如何使用scrapy获取嵌套文本值
- c# - 如何在没有 Visual Studio 的情况下引用程序集(* .dll)?
- kotlin - 为什么 JvmStatic 方法可以访问和修改状态?
- javascript - 使用 ajax 表单返回 false 不起作用
- mysql - 来自反应应用程序的 post 方法的未定义值
- python - Django - sqlite - 从模型中删除属性
- c# - 如何读取json数组?
- javascript - 我无法在 JS 中发布数据
- java - 未应用自定义 Spring Boot 安全性
- http - 在 Deno 中使用 HTTP POST 的 Http 客户端