Kami sedang mengembangkan dan membangun gambar buruh pelabuhan di intranet kami, dan perlu menyebarkannya ke beberapa host milik kami (pengembang, pengujian internal, pengujian eksternal, dan sebagainya). Beberapa di antaranya ada di intranet kami, beberapa dapat diakses oleh pihak ke-3 di internet.
Penyebaran terakhir ada di dalam intranet pelanggan pada beberapa node (produksi, tahapan pengujian berbeda). Ini adalah di belakang firewall yang tidak secara teratur membiarkan mereka mengakses hal-hal di luar intranet mereka, yaitu, sementara beberapa dari mereka dapat diizinkan untuk mengakses registri eksternal untuk penyebaran, yang lain tidak dapat dan gambar harus dikirim secara manual melalui beberapa pengunggahan perangkat lunak misterius alat.
Saya mencari cara untuk memiliki registry di internet (mungkin dijalankan oleh kami sendiri pada beberapa VM di luar sana, lebih disukai tidak) yang memungkinkan gambar untuk disimpan dienkripsi (lebih disukai GPG atau serupa, bukan kata sandi sederhana). Tapi kemudian juga bisa lebih dari sekadar mengirimkan "setengah" barang melalui beberapa mekanisme unggahan secara manual. Pelanggan sangat paranoid, sehingga menjaga enkripsi end-to-end cukup penting.
Apakah ada alat yang muncul dalam pikiran, yang mampu menanganinya dengan sempurna? Salah satu solusinya adalah dengan merefleksikan registri lengkap ke lokasi pelanggan pada host yang berdedikasi, menjaga bagian enkripsi tetap utuh.
Solusi "standar" akan bagus, saya akan enggan untuk meretas sesuatu bersama-sama jika sudah ada sesuatu yang ramping / ringan / mapan / stabil di sekitar, sudah.
EDIT (+ edit pada judul): Skema izin luas seperti yang ditawarkan oleh Portus adalah awal yang baik, tetapi saya mencari idealnya untuk enkripsi ujung-ke-ujung dari gambar yang sebenarnya. Pelanggan sangat paranoid dan baru saja mulai dengan Docker, layanan berbasis cloud, dll.
sumber
I am looking for a way to have a registry [...] which allows the images to be stored encrypted (preferably GPG or similar, not a simple password).
Jawaban:
Google Container Registry adalah opsi potensial.
Fakta bahwa registri adalah bagian dari Google Cloud Platform juga berarti Anda dapat membangun beberapa hal menarik lainnya. Misalnya, Anda bisa mengatur VM untuk berfungsi sebagai proxy-terbalik dan mengatur firewall GCP hanya mengizinkan 443 dari set IP tertentu (seperti kantor klien Anda).
sumber
Lihatlah https://github.com/Senetas/crypto-cli
Hal ini memungkinkan Anda untuk mengenkripsi / mendekripsi wadah ketika mendorong dan menarik dari repo publik atau pribadi.
(Pengungkapan penuh saya tahu orang yang menulisnya)
sumber