我希望在使用防火墙ip-address白名单的企业环境中实现Docker。不幸的是,域名白名单不是一种选择。
是否需要打开所有IP地址(包括端口)以允许计算机完全访问Docker Hub?
还想知道是否有任何建议的策略来监控这些是否会随着时间的推移而发生变化,这样我才能确保防火墙规则得到更新?
答案 0 :(得分:4)
您可以定期运行dig命令并解析返回的IP。这是挖掘结果
;; ANSWER SECTION:
hub.docker.com. 9 IN CNAME elb-default.us-east-1.aws.dckr.io.
elb-default.us-east-1.aws.dckr.io. 276 IN CNAME us-east-1-elbdefau-1nlhaqqbnj2z8-140214243.us-east-1.elb.amazonaws.com.
us-east-1-elbdefau-1nlhaqqbnj2z8-140214243.us-east-1.elb.amazonaws.com. 55 IN A 52.7.223.172
us-east-1-elbdefau-1nlhaqqbnj2z8-140214243.us-east-1.elb.amazonaws.com. 55 IN A 54.208.38.120
us-east-1-elbdefau-1nlhaqqbnj2z8-140214243.us-east-1.elb.amazonaws.com. 55 IN A 54.86.125.243
这向我表明hub.docker.com是指向AWS Elastic Load Balancer实例的CNAME。 ELB不能保证总是拥有相同的IP,所以这个解决方案绝对是一个黑客,但你可能会从中获得一些好处。
如果您的限制性IT部门具有限制性规则,则可能需要Docker Trusted Registry,这将允许您在自己的环境中部署私有注册表,仅绑定到一个IP,并通过防火墙规则锁定。