允许使用 docker，但不允许 docker push

Question

这Docker 注册表使用 HTTP API。docker push使用PUT、PUSH和PATCHHTTP 方法。要允许docker pull和阻止，docker push需要使用检查 HTTP 请求的防火墙解决方案。

但即使docker push被防火墙阻止，仍然可以使用docker save创建本地图像档案，然后可以将其保存在 USB 记忆棒上或通过电子邮件等方式传输出公司网络。

为了获得一定程度的安全性，可以考虑阻止对docker.io注册表的访问以防止意外推送命令，运行私有注册表并仅使用私有基础映像。

在 Linux 上你可以进行如下配置：

BLOCK_REGISTRY='--block-registry=all'
ADD_REGISTRY='--add-registry=registry.access.redhat.com'

然而这些设置似乎还没有实现适用于 Windows 的 Docker。

Answer 1

这Docker 注册表使用 HTTP API。docker push使用PUT、PUSH和PATCHHTTP 方法。要允许docker pull和阻止，docker push需要使用检查 HTTP 请求的防火墙解决方案。

但即使docker push被防火墙阻止，仍然可以使用docker save创建本地图像档案，然后可以将其保存在 USB 记忆棒上或通过电子邮件等方式传输出公司网络。

为了获得一定程度的安全性，可以考虑阻止对docker.io注册表的访问以防止意外推送命令，运行私有注册表并仅使用私有基础映像。

在 Linux 上你可以进行如下配置：

BLOCK_REGISTRY='--block-registry=all'
ADD_REGISTRY='--add-registry=registry.access.redhat.com'

然而这些设置似乎还没有实现适用于 Windows 的 Docker。

相关内容