Docker EE - Настройка Docker Trusted Registry (DTR) для сред Prod

Это не программный вопрос, поэтому, пожалуйста, удалите его, если группа считает это неуместным.

Я пытаюсь понять настройку DTR для нескольких кластеров универсальной плоскости управления (UCP). У меня будет два кластера UCP - один для не-PROD, а другой для PROD.

В идеале я хотел бы иметь только один DTR (имеет смысл для меня с адекватными настроенными ролями RBAC, я не вижу необходимости в нескольких DTR)

Информация из лучших практик Docker Inc

DTR кластеры

В отличие от отдельных производственных и непроизводственных кластеров UCP, предприятия обычно имеют один основной кластер DTR. Это позволяет применять корпоративные процессы, такие как сканирование безопасности, в централизованном месте. Если извлечение изображений из глобально распределенных расположений занимает слишком много времени, вы можете использовать функцию кэширования содержимого DTR для создания локальных кэшей.

Примечание. Принудительная политика при подписывании образов в настоящее время не будет работать, если ваш DTR находится в отдельном кластере от UCP.

Конец информации с сайта

Мне неясно, является ли это лучшим решением для использования DTR в качестве отдельного 3-го кластера (два других - кластеры PROD и NON-PROD UCP). Если да, препятствует ли эта настройка нам использовать такие функции, как подписывание изображений? Каковы компромиссы?

Я ищу четкие рекомендации в этом пространстве.