云計(jì)算核心技術(shù)docker教程：Docker 守護(hù)進(jìn)程dockerd不安全的注冊(cè)表

作者：docker 2020-12-10 08:04:55
云計(jì)算 Docker認(rèn)為私有注冊(cè)表是安全的還是不安全的。在本節(jié)的其余部分中，注冊(cè)表用于私有注冊(cè)表，并且myregistry:5000 是私有注冊(cè)表的占位符示例。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名申請(qǐng)、網(wǎng)站空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、臨渭區(qū)網(wǎng)站維護(hù)、網(wǎng)站推廣。

Docker認(rèn)為私有注冊(cè)表是安全的還是不安全的。在本節(jié)的其余部分中，注冊(cè)表用于私有注冊(cè)表，并且myregistry:5000 是私有注冊(cè)表的占位符示例。

安全注冊(cè)表使用TLS，并將其CA證書的副本放置在Docker主機(jī)上，網(wǎng)址為/etc/docker/certs.d/myregistry:5000/ca.crt。不安全的注冊(cè)表要么未使用TLS(即偵聽(tīng)純文本HTTP)，要么正在使用帶有Docker守護(hù)進(jìn)程未知的CA證書的TLS。當(dāng)在下沒(méi)有找到證書時(shí)/etc/docker/certs.d/myregistry:5000/，或者證書驗(yàn)證失敗(例如，錯(cuò)誤的CA)時(shí)，可能會(huì)發(fā)生后者 。

默認(rèn)情況下，Docker假設(shè)所有注冊(cè)表都是安全的。如果Docker認(rèn)為注冊(cè)表是安全的，則無(wú)法與不安全的注冊(cè)表通信。為了與不安全的注冊(cè)表進(jìn)行通信，Docker守護(hù)程序需要--insecure-registry以下兩種形式之一：

• --insecure-registry myregistry:5000 告訴Docker守護(hù)程序myregistry：5000應(yīng)該被認(rèn)為是不安全的。
• --insecure-registry 10.1.0.0/16 告訴Docker守護(hù)程序，其域解析為IP地址的所有注冊(cè)表都是CIDR語(yǔ)法描述的子網(wǎng)的一部分，應(yīng)被視為不安全。

可以多次使用該標(biāo)志，以允許將多個(gè)注冊(cè)表標(biāo)記為不安全。

如果不安全的注冊(cè)表沒(méi)有被標(biāo)記為不安全的，docker pull， docker push，和docker search將導(dǎo)致一個(gè)錯(cuò)誤消息，提示用戶或者安全或通過(guò)--insecure-registry如上所述標(biāo)志提供給多克爾守護(hù)進(jìn)程。

從Docker 1.3.2開始，其IP地址在127.0.0.0/8范圍內(nèi)的本地注冊(cè)表會(huì)自動(dòng)標(biāo)記為不安全。不建議依賴此方法，因?yàn)閷?lái)可能會(huì)更改。

• --insecure-registry在運(yùn)行本地注冊(cè)表時(shí)，啟用(即允許未經(jīng)加密和/或不受信任的通信)可能很有用。但是，由于使用它會(huì)產(chǎn)生安全漏洞，因此僅應(yīng)出于測(cè)試目的將其啟用。為了提高安全性，用戶應(yīng)將其CA添加到系統(tǒng)的受信任CA列表中，而不要啟用--insecure-registry。

舊版注冊(cè)表

不再支持針對(duì)僅支持舊版v1協(xié)議的注冊(cè)表的操作。具體來(lái)說(shuō)，守護(hù)進(jìn)程不會(huì)嘗試push，pull并login 以V1登記。唯一的例外是search仍可以在v1注冊(cè)中心上執(zhí)行。

網(wǎng)站名稱：云計(jì)算核心技術(shù)Docker教程：Docker守護(hù)進(jìn)程dockerd不安全的注冊(cè)表
網(wǎng)址分享：http://m.5511xx.com/article/djchids.html