我正在使用Artifactory(因为我们已经在企业中使用它)来存储我们创建的Docker镜像。我希望使用docker-compose来配置和运行这些图像。
如果可能,我想让开发人员无法从DockerHub中提取图像,但我无法看到如何实现这一目标。如果有人提出
postgres:
image: "postgres:9.4"
在他们的撰写文件中,这将从docker hub中提取postgres图像。我想限制搜索范围,以便只考虑本地仓库中的图像。我的理由是,有人可以认证我本地仓库中的图像,这样我们就可以限制我们开放的漏洞数量。
这可能吗?
这是个好主意吗?
答案 0 :(得分:2)
你是正确的方向,适当的依赖管理是Artifactory旨在减轻的痛苦之一 - 我建议你首先阅读这个post关于你的确切问题,解释如何利用Artifactory来解决这个问题
对于您的特定用例,您可以限制开发人员仅从本地存储库(或多个聚合到虚拟存储库)中获取仅包含“已批准”图像的文件(使用permission targes限制仅访问该存储库) 。或者您可以在代理Docker Hub的远程存储库上设置include/exclude patterns - 但我觉得这可能有点过分,除非您想要限制非常特定的图像,否则可能容易出错。