Mengenkripsi gambar buruh pelabuhan (ujung ke ujung); mengangkut melalui saluran offline

8

Kami sedang mengembangkan dan membangun gambar buruh pelabuhan di intranet kami, dan perlu menyebarkannya ke beberapa host milik kami (pengembang, pengujian internal, pengujian eksternal, dan sebagainya). Beberapa di antaranya ada di intranet kami, beberapa dapat diakses oleh pihak ke-3 di internet.

Penyebaran terakhir ada di dalam intranet pelanggan pada beberapa node (produksi, tahapan pengujian berbeda). Ini adalah di belakang firewall yang tidak secara teratur membiarkan mereka mengakses hal-hal di luar intranet mereka, yaitu, sementara beberapa dari mereka dapat diizinkan untuk mengakses registri eksternal untuk penyebaran, yang lain tidak dapat dan gambar harus dikirim secara manual melalui beberapa pengunggahan perangkat lunak misterius alat.

Saya mencari cara untuk memiliki registry di internet (mungkin dijalankan oleh kami sendiri pada beberapa VM di luar sana, lebih disukai tidak) yang memungkinkan gambar untuk disimpan dienkripsi (lebih disukai GPG atau serupa, bukan kata sandi sederhana). Tapi kemudian juga bisa lebih dari sekadar mengirimkan "setengah" barang melalui beberapa mekanisme unggahan secara manual. Pelanggan sangat paranoid, sehingga menjaga enkripsi end-to-end cukup penting.

Apakah ada alat yang muncul dalam pikiran, yang mampu menanganinya dengan sempurna? Salah satu solusinya adalah dengan merefleksikan registri lengkap ke lokasi pelanggan pada host yang berdedikasi, menjaga bagian enkripsi tetap utuh.

Solusi "standar" akan bagus, saya akan enggan untuk meretas sesuatu bersama-sama jika sudah ada sesuatu yang ramping / ringan / mapan / stabil di sekitar, sudah.

EDIT (+ edit pada judul): Skema izin luas seperti yang ditawarkan oleh Portus adalah awal yang baik, tetapi saya mencari idealnya untuk enkripsi ujung-ke-ujung dari gambar yang sebenarnya. Pelanggan sangat paranoid dan baru saja mulai dengan Docker, layanan berbasis cloud, dll.

docker deployment encryption AnoE
sumber
stackoverflow.com/q/37584961/2777965
030
Terima kasih, @ 030. Pertanyaan yang Anda tautkan mempertimbangkan menyembunyikan barang-barang dari mata pengguna; pertanyaan saya adalah tentang menyembunyikannya dari orang-orang di sepanjang jalan (yaitu, saya tidak perlu enkripsi di kedua ujungnya, hanya ketika mentransfernya melalui beberapa registri).
AnoE
Baik. Jadi pada dasarnya Anda mencari SSL untuk pendaftar seperti https untuk situs web?
030
@ 030, seperti yang diberikan dalam pertanyaan,I am looking for a way to have a registry [...] which allows the images to be stored encrypted (preferably GPG or similar, not a simple password).
AnoE
github.com/moby/moby/issues/23200
030

Jawaban:

2

Google Container Registry adalah opsi potensial.

  1. Registri bersifat pribadi
  2. Lapisan gambar disimpan di ember Google Cloud Storage, yang dienkripsi oleh Google (RSA) dan juga dapat dienkripsi dengan kunci klien (RSA)
  3. Kontrol akses granular ke setiap objek individu yang disimpan di ember GCS
  4. Otentikasi sisi klien diberlakukan melalui oauth2. Klien mengkonfigurasi buruh pelabuhan untuk menggunakan google cloud SDK sebagai pengelola kredensial
  5. Gambar ditarik melalui koneksi ssl

Fakta bahwa registri adalah bagian dari Google Cloud Platform juga berarti Anda dapat membangun beberapa hal menarik lainnya. Misalnya, Anda bisa mengatur VM untuk berfungsi sebagai proxy-terbalik dan mengatur firewall GCP hanya mengizinkan 443 dari set IP tertentu (seperti kantor klien Anda).

tazer84
sumber
0

Lihatlah https://github.com/Senetas/crypto-cli

Hal ini memungkinkan Anda untuk mengenkripsi / mendekripsi wadah ketika mendorong dan menarik dari repo publik atau pribadi.

(Pengungkapan penuh saya tahu orang yang menulisnya)

Rubblesink
sumber