Разница DOCKER_CONTENT_TRUST и доверие к контенту

Question

Разница DOCKER_CONTENT_TRUST и доверие к контенту

Как я понял из официальной документации Docker, и переменная окружения DOCKER_CONTENT_TRUST, и deamon config content-trust предотвращают использование неподписанных тегов. Если я хочу ограничить использование неподписанных изображений, какой вариант будет лучшим?

Вариант 1: экспорт DOCKER_CONTENT_TRUST=1

Вариант 2: /etc/docker/daemon.json:{ "content-trust": { "mode": "enforced" } }

0

docker docker-trusted-registry

Источник

user2415077 04 янв '20 в 13:35

1 ответ

Другие вопросы по тегам docker docker-trusted-registry

user13521032 12 май '20 в 00:29 2020-05-12 00:29 · Answer 1 · 2020-05-12 00:29

Лучшим вариантом было бы использовать доверие к контенту (то есть принудительное исполнение) с демоном docker (указанным в файле конфигурации демона json). Это предпочтительнее, потому что конечные пользователи вашей среды не могут просто отключить доверие, установив значение переменной среды DOCKER_CONTENT_TRUST на 0 и загрузив небезопасные образы.

С другой стороны, это доступно только в docker Enterprise, поэтому, если вы используете версию сообщества, эта опция вообще не будет доступна, оставив вам использовать только переменные среды