我们在银行和金融环境中使用Docker,安全性至关重要 - 了解图像内容的来源至关重要。
我们不希望开发人员从不受信任的位置下载图像,因此我们设置了一个内部注册表,用于存储我们信任的图像。
开发人员计算机是策略管理的,因此我们可以远程锁定某些配置或功能。
我认为我的问题的答案是“不” - 但这里有:
或者,
答案 0 :(得分:0)
我曾与银行和金融领域的一些客户合作过。我所看到的是一种完全锁定方法,节点无法访问互联网。如果他们真的必须使用互联网,则使用HTTP_PROXY或HTTPS_PROXY变量。来自docker hub的所有必需映像都在其私有存储库中进行镜像。每个简单图像名称的缺点都需要以注册表信息为前缀。
使用代理服务器强制执行组织的所有策略。对Docker中心的任何请求都受到限制。