使用策略强制执行 Docker 强化镜像使用

目录
订阅: Docker 强化镜像

自动镜像 Docker 强化镜像 (DHI) 仓库会启用 Docker Scout,让您无需额外设置即可开始为镜像强制执行安全和合规策略。使用 Docker Scout 策略,您可以定义和应用规则,确保只有经过批准且安全的镜像(例如基于 DHI 的镜像)在您的所有环境中得到使用。

通过内置于 Docker Scout 中的策略评估功能,您可以实时监控镜像合规性,将检查集成到您的 CI/CD 工作流程中,并维护镜像安全性和来源的一致标准。

查看现有策略

要查看应用于镜像 DHI 仓库的当前策略

  1. Docker Hub 中转到镜像 DHI 仓库。

  2. 选择 在 Scout 中查看

    这将打开 Docker Scout 控制台,您可以在其中查看当前活动的策略以及您的镜像是否符合策略标准。

当新镜像被推送时,Docker Scout 会自动评估策略合规性。每个策略都包含合规性结果以及指向受影响镜像和层的链接。

为基于 DHI 的镜像创建策略

为了确保您使用 Docker 强化镜像构建的镜像保持安全,您可以根据自己的需求为自己的仓库创建 Docker Scout 策略。这些策略有助于执行安全标准,例如防止高危漏洞、要求使用最新基础镜像或验证关键元数据的存在。

策略会在镜像被推送到仓库时进行评估,让您可以跟踪合规性、接收偏差通知,并将策略检查集成到您的 CI/CD 管道中。

示例:为基于 DHI 的镜像创建策略

此示例演示如何创建一个策略,要求组织中的所有镜像都使用 Docker 强化镜像作为其基础。这可确保您的应用程序构建在安全、最小化且生产就绪的镜像上。

步骤 1:在 Dockerfile 中使用 DHI 基础镜像

创建一个 Dockerfile,使用 Docker 强化镜像镜像仓库作为基础。例如:

# Dockerfile
FROM ORG_NAME/dhi-python:3.13-alpine3.21

ENTRYPOINT ["python", "-c", "print('Hello from a DHI-based image')"]

步骤 2:构建并推送镜像

打开终端并导航到包含 Dockerfile 的目录。然后,构建并将镜像推送到您的 Docker Hub 仓库。

$ docker build \
  --push \
  -t YOUR_ORG/my-dhi-app:v1 .

步骤 3:启用 Docker Scout

要在您的组织和仓库中启用 Docker Scout,请在终端中运行以下命令:

$ docker login
$ docker scout enroll YOUR_ORG
$ docker scout repo enable --org YOUR_ORG YOUR_ORG/my-dhi-app

步骤 4:创建策略

  1. 转到 Docker Scout 控制台
  2. 选择您的组织并导航到策略
  3. 选择添加策略
  4. 选择批准的基础镜像策略配置
  5. 为策略命名一个符合要求的名称,例如批准的 DHI 基础镜像
  6. 批准的基础镜像源中,删除默认项。
  7. 批准的基础镜像源中,添加批准的基础镜像源。对于此示例,使用通配符 (*) 允许所有镜像 DHI 仓库,docker.io/ORG_NAME/dhi-*。将 ORG_NAME 替换为您的组织名称。
  8. 选择保存策略

步骤 5:评估策略合规性

  1. 转到 Docker Scout 控制台
  2. 选择您的组织并导航到镜像
  3. 找到您的镜像 YOUR_ORG/my-dhi-app:v1,然后选择合规性列中的链接。

这将显示您的镜像的策略合规性结果,包括它是否符合批准的 DHI 基础镜像策略的要求。

您现在可以在 CI 中评估策略合规性

© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.