设置管理
目录
设置管理允许管理员配置和强制执行整个终端用户机器上的 Docker Desktop 设置。这有助于维护一致的配置并增强组织内的安全性。
谁应该使用设置管理?
设置管理专为以下组织设计:
- 需要集中控制 Docker Desktop 配置
- 希望标准化团队间的 Docker Desktop 环境
- 在受监管环境中运营并必须强制执行合规政策
设置管理的工作原理
管理员可以使用以下方法之一定义设置:
- 管理控制台:通过 Docker 管理控制台创建和分配设置策略。这提供了一个基于 Web 的界面,用于管理整个组织的设置。
admin-settings.json文件:在用户机器上放置一个配置文件以强制执行设置。此方法适用于自动化部署和脚本安装。
强制执行的设置会覆盖用户定义的配置,并且开发人员无法修改。
可配置设置
设置管理支持广泛的 Docker Desktop 功能,包括:
- 代理配置
- 网络设置
- 容器隔离选项
- 注册表访问控制
- 资源限制
- 安全策略
有关可强制执行设置的完整列表,请参阅设置参考。
策略优先级
当存在多个策略时,Docker Desktop 按以下顺序应用它们:
- 用户特定策略:最高优先级
- 组织默认策略:当不存在用户特定策略时应用
- 本地
admin-settings.json文件:最低优先级,被管理控制台策略覆盖
设置管理
- 强制登录以确保所有开发人员都使用您的组织进行身份验证。
- 选择一种配置方法
- 在 macOS 或 Windows 上使用
--admin-settings安装程序标志可自动创建admin-settings.json。 - 手动创建和配置
admin-settings.json文件。 - 在 Docker 管理控制台中创建设置策略。
- 在 macOS 或 Windows 上使用
配置后,开发人员在以下情况下会收到强制执行的设置:
- 退出并重新启动 Docker Desktop,然后登录
- 首次启动并登录 Docker Desktop
注意Docker Desktop 不会在设置更改后自动提示用户重新启动或重新认证。您可能需要将这些要求告知开发人员。
开发者体验
强制执行设置后:
- Docker Desktop 中的设置选项会显示为灰色,无法通过 Dashboard、CLI 或配置文件修改。
- 如果启用了增强容器隔离,开发人员无法使用特权容器或类似方法在 Docker Desktop Linux VM 中更改强制设置。
这确保了环境的一致性,同时清晰地显示了哪些设置由管理员管理。
查看已应用的设置
当管理员应用设置管理策略时,Docker Desktop 会将 GUI 中大多数强制执行的设置显示为灰色。
Docker Desktop GUI 目前不显示所有集中式设置,特别是管理员通过管理控制台应用的增强容器隔离 (ECI) 设置。
作为一种变通方法,您可以检查 settings-store.json 文件以查看所有已应用的设置:
- Mac:
~/Library/Application Support/Docker/settings-store.json - Windows:
%APPDATA%\Docker\settings-store.json - Linux: `~/.docker/desktop/settings-store.json`
settings-store.json 文件包含所有设置,包括那些可能未在 Docker Desktop GUI 中显示的设置。
限制
设置管理存在以下限制:
- 不适用于气隙或离线环境。
- 不兼容限制与 Docker Hub 认证的环境。
后续步骤
开始使用设置管理