Управление доступом к реестру (ОЗУ)

Управление доступом к реестру (RAM) — это функция, доступная организациям с подпиской Docker Business. Когда ОЗУ включено, владельцы организаций могут гарантировать, что их разработчики, использующие Docker Desktop, могут получить доступ только к реестрам, которые были разрешены с помощью панели управления доступом к реестру на Docker Hub, чтобы отразить поддержку других реестров: AWS ECR, GitHub Container Registry, Google Container. Registry, Quay, локальный частный реестр и другие.

Например, вы можете использовать оперативную память, если вы управляете инженерными группами, использующими Docker Desktop для локальной разработки, и хотите убедиться, что образы, которые они извлекают, лицензированы и заслуживают доверия, прежде чем использовать их.

Требования:

Загрузить Docker Desktop v4.8 или более позднюю версию.

Настраивание разрешения для управления доступом к реестру

Чтобы настроить разрешения на управление доступом к реестру, выполните следующие действия:

  1. Войти в свою учетную запись Docker Hub как владелец организации.

  2. Выбрать организацию, перейдите на вкладку Настройки на странице Организации и нажмите Доступ к реестру.

  3. Включаете управление доступом к реестру, чтобы установить разрешения для вашего реестра.

    Примечание

    Если данный параметр включён, реестр В Docker Hub устанавливается по умолчанию, однако вы также можете ограничить данный реестр для своих разработчиков.

  4. Нажмите Добавить и вводите данные реестра в соответствующие поля, а затем нажмите Создание, чтобы добавить реестр в список.

  5. Убедиться, что реестр отображается в вашем списке, и нажмите Сохранить и применить. Вы можете убедиться, что ваши изменения сохранены на вкладке «Активность».

    Примечание

    После добавления реестра может потребоваться до 24 часов, чтобы изменения вступили в силу на компьютерах ваших разработчиков. Если вы хотите применить изменения раньше, вы должны принудительно выйти из системы Docker на компьютере ваших разработчиков и повторно аутентифицировать разработчиков для Docker Desktop. Кроме того, нет ограничений на количество регистров, которые вы можете добавить. См. раздел Предостережения, чтобы узнать больше об ограничениях при использовании этой функции.

    Registry Access Management

Принудительная проверка подлинности

Чтобы гарантировать, что каждый участник организации использует управление доступом к реестру на своём локальном компьютере, вы можете выполнить следующие шаги, чтобы принудительно выполнить вход в вашу организацию. Сделать это:

  1. Загружаете последнюю версию Docker Desktop, а затем

  2. Создаёте файл registry.json, следуя инструкциям для Windows, Mac и Linux.

Проверка ограничения

Новая политика управления доступом к реестру должна быть введена в действие после того, как разработчик успешно пройдет проверку подлинности на рабочем столе Docker, используя учетные данные своей организации. Разработчик может попытаться извлечь образ из запрещенного реестра через интерфейс командной строки Docker. Затем они получат сообщение об ошибке, что ваша организация запретила данный реестр.

Предостережения

Существуют определённые ограничения при использовании управления доступом к реестру; они следующие:

  • Извлечение образов Windows и сборка образов не ограничены

  • Такие сборки, как docker buildx с использованием драйвера Kubernetes, не ограничены

  • Такие сборки, как docker buildx, использующие пользовательский драйвер контейнера docker, не ограничены

  • Блокировка основана на DNS; вы должны использовать механизмы управления доступом к реестру, чтобы различать «push» и «pull»

  • Для WSL 2 требуется как минимум ядро Linux серии 5.4 (это не относится к более ранним сериям ядер Linux)

  • В сети WSL 2 ограничен трафик из всех дистрибутивов Linux (это будет решено в обновленном ядре Linux серии 5.15)

Кроме того, управление доступом к реестру работает на уровне хостов, а не IP-адресов. Разработчики могут обойти это ограничение в разрешении своего домена, например, запустив Docker на локальном прокси-сервере или изменив файл sts своей операционной системы. Блокирование данных форм манипуляций не входит в компетенцию Docker Desktop.