设置参考

本参考文档记录了所有 Docker Desktop 设置和配置选项。您可以使用它来了解不同配置方法和平台上的设置行为。

每个设置都包含：

• 默认值和接受值
• 平台兼容性
• 配置方法（Docker Desktop GUI、Admin Console、admin-settings.json 文件或 CLI）
• 适用的企业安全建议

如何使用此参考

设置按 Docker Desktop GUI 结构进行组织。配置方法用以下标签表示：

• Desktop GUI：通过 Docker Desktop 设置界面可配置
• Admin Console：通过 Docker Admin Console 使用设置管理可配置
• JSON 文件：通过 admin-settings.json 文件使用设置管理可配置
• CLI：通过命令行工具可配置

通用设置

登录计算机时启动 Docker Desktop

• 描述： 用户登录计算机时 Docker Desktop 的自动启动。
• 操作系统： 所有
• 用例： 确保系统启动后 Docker Desktop 始终可用。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

Docker Desktop 启动时打开 Docker Dashboard

• 描述： Docker Desktop 启动时是否自动打开 Docker Dashboard。
• 操作系统： 所有
• 用例： 启动后立即访问容器、镜像和卷。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

选择 Docker Desktop 主题

• 描述： Docker Desktop 界面的视觉外观。
• 操作系统： 所有
• 用例： 自定义界面外观以匹配用户偏好或系统主题。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

配置 Shell 自动补全

• 描述： Docker CLI 自动补全如何与用户的 shell 集成。
• 操作系统： 所有
• 用例： 控制 Docker 是否修改 shell 配置文件以实现自动补全。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

选择容器终端

• 描述： 从 Docker Desktop 启动 Docker CLI 时使用的默认终端。
• 操作系统： 所有
• 用例： 为 Docker CLI 交互设置首选终端应用程序。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

启用 Docker 终端

• 描述： 访问 Docker Desktop 的集成终端功能。如果此值设置为 false，用户将无法使用 Docker 终端与主机交互并直接从 Docker Desktop 执行命令。
• 操作系统： 所有
• 用例： 允许或限制开发者访问内置终端以进行主机系统交互。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置
  • 设置管理：admin-settings.json 文件中的 desktopTerminalEnabled 设置

注意

在加固环境中，禁用并锁定此设置以限制主机访问。

默认启用 Docker Debug

• 描述： Docker CLI 命令是否默认开启调试日志。
• 操作系统： 所有
• 用例： 为故障排除和支持场景提供详细输出。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

将 VM 包含在 Time Machine 备份中

• 描述： Docker Desktop 虚拟机是否包含在 macOS Time Machine 备份中。
• 操作系统： 仅限 Mac
• 用例： 平衡备份完整性与备份大小和性能。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

使用 containerd 拉取和存储镜像

• 描述： Docker Desktop 使用的镜像存储后端。
• 操作系统： 所有
• 用例： 提高镜像处理性能并启用 containerd 原生功能。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

选择虚拟机管理器

Docker VMM

Apple 虚拟化框架

• 描述： 使用 Apple 虚拟化框架运行 Docker 容器。
• 操作系统： 仅限 Mac
• 用例： 提高 Apple Silicon 上的虚拟机性能。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

Rosetta

• 描述： 在 Apple Silicon 上使用 Rosetta 模拟 amd64。如果此值设置为 true，Docker Desktop 将开启 Rosetta 以加速 Apple Silicon 上的 x86_64/amd64 二进制仿真。
• 操作系统： 仅限 Mac 13+
• 用例： 在 Apple Silicon 主机上运行基于 Intel 的容器。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置
  • 设置管理：admin-settings.json 文件中的 useVirtualizationFrameworkRosetta 设置
  • 设置管理：Admin Console 中的在 Apple Silicon 上使用 Rosetta 进行 x86_64/amd64 仿真设置

注意

在加固环境中，禁用并锁定此设置，以便只允许 ARM 原生镜像。

注意

Rosetta 需要启用 Apple 虚拟化框架。

QEMU

警告

QEMU 已在 Docker Desktop 4.44 及更高版本中弃用。欲了解更多信息，请参阅博客公告

选择文件共享实现

VirtioFS

• 描述： 使用 VirtioFS 在主机和容器之间进行快速、原生的文件共享。如果此值设置为 true，则 VirtioFS 将设置为文件共享机制。如果 VirtioFS 和 gRPC 都设置为 true，则 VirtioFS 优先。
• 操作系统： 仅限 Mac 12.5+
• 用例： 在现代 macOS 上实现更好的文件系统性能和兼容性。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置
  • 设置管理：admin-settings.json 文件中的 useVirtualizationFrameworkVirtioFS 设置
  • 设置管理：Admin Console 中的使用 VirtioFS 进行文件共享设置

注意

在加固环境中，为 macOS 12.5 及更高版本启用并锁定此设置。

gRPC FUSE

• 描述： 启用 gRPC FUSE 以进行 macOS 文件共享。如果此值设置为 true，则 gRPC Fuse 将设置为文件共享机制。
• 操作系统： 仅限 Mac
• 用例： 替代文件共享，比传统的 osxfs 性能更好。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置
  • 设置管理：admin-settings.json 文件中的 useGrpcfuse 设置
  • 设置管理：Admin Console 中的使用 gRPC FUSE 进行文件共享设置

注意

在加固环境中，禁用并锁定此设置。

osxfs

• 描述： 为 macOS 使用原始 osxfs 文件共享驱动程序。设置为 true 时，Docker Desktop 使用 osxfs 而不是 VirtioFS 或 gRPC FUSE 将主机目录挂载到容器中。
• 操作系统： 仅限 Mac
• 用例： 与需要原始文件共享实现的旧版工具的兼容性。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

发送使用统计

• 描述： 控制 Docker Desktop 是否收集本地使用统计信息和崩溃报告并将其发送给 Docker。此设置影响从 Docker Desktop 应用程序本身收集的遥测数据。它不影响通过 Docker Hub 或其他后端服务（例如登录时间戳、拉取或构建）收集的服务器端遥测数据。
• 操作系统： 所有
• 用例： 帮助 Docker 根据使用模式改进产品。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置
  • 设置管理：admin-settings.json 文件中的 analyticsEnabled 设置
  • 设置管理：Admin Console 中的发送使用统计信息设置

注意

在加固环境中，禁用并锁定此设置。这使您可以控制所有数据流，并在需要时通过安全通道收集支持日志。

注意

使用 Insights Dashboard 的组织可能需要启用此设置，以确保开发者活动完全可见。如果用户选择退出且未锁定该设置，他们的活动可能会从分析视图中排除。

使用增强型容器隔离

• 描述： 通过 Linux 用户命名空间和额外隔离提供高级容器安全性。
• 操作系统： 所有
• 用例： 防止容器修改 Docker Desktop VM 配置或访问敏感主机区域。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置
  • 设置管理：admin-settings.json 文件中的 enhancedContainerIsolation 设置
  • 设置管理：Admin Console 中的启用增强型容器隔离设置

注意

在加固环境中，禁用并锁定此设置。这使您可以控制所有数据流，并在需要时通过安全通道收集支持日志。

显示 CLI 提示

• 描述： 在使用 Docker 命令时，终端中显示有用的 CLI 建议。
• 操作系统： 所有
• 用例： 通过上下文提示帮助用户发现 Docker CLI 功能。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

启用 Scout 镜像分析

• 描述： Docker Scout SBOM 生成和容器镜像漏洞扫描。
• 操作系统： 所有
• 用例： 开启漏洞扫描和软件物料清单分析。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置
  • 设置管理：admin-settings.json 文件中的 sbomIndexing 设置
  • 设置管理：Admin Console 中的SBOM 索引设置

注意

在加固环境中，启用并锁定此设置以确保合规性扫描始终可用。

启用后台 Scout SBOM 索引

• 描述： 无需用户交互即可自动对镜像进行 SBOM 索引。
• 操作系统： 所有
• 用例： 在空闲时间或镜像操作后通过索引保持镜像元数据最新。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置

注意

在加固环境中，启用并锁定此设置以进行持续安全分析。

自动检查配置

• 描述： 定期验证 Docker Desktop 配置未被外部应用程序修改。
• 操作系统： 所有
• 用例： 跟踪配置版本以进行兼容性和更改检测。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通用设置
  • 设置管理：admin-settings.json 文件中的 configurationFileVersion 设置

资源设置

CPU 限制

• 描述： 分配给 Docker Desktop 虚拟机的 CPU 核心数。
• 操作系统： 所有
• 用例： 平衡 Docker 性能与主机系统资源可用性。
• 使用此设置进行配置
  • Docker Desktop GUI 中的高级资源设置

内存限制

• 描述： 分配给 Docker Desktop 虚拟机的 RAM 量（MiB）。
• 操作系统： 所有
• 用例： 控制内存分配以优化 Docker 和主机应用程序的性能。
• 使用此设置进行配置
  • Docker Desktop GUI 中的高级资源设置

交换空间

• 描述： Docker 虚拟机可用的交换空间量（MiB）。
• 操作系统： 所有
• 用例： 在物理 RAM 有限时扩展容器工作负载的可用内存。
• 使用此设置进行配置
  • Docker Desktop GUI 中的高级资源设置

磁盘使用限制

• 描述： 为 Docker Desktop 数据分配的最大磁盘空间（MiB）。
• 操作系统： 所有
• 用例： 防止 Docker 在主机系统上占用过多的磁盘空间。
• 使用此设置进行配置
  • Docker Desktop GUI 中的高级资源设置

磁盘镜像位置

• 描述： Docker Desktop 存储虚拟机数据的文件系统路径。
• 操作系统： 所有
• 用例： 将 Docker 数据移动到自定义存储位置以进行性能或空间管理。
• 使用此设置进行配置
  • Docker Desktop GUI 中的高级资源设置

启用资源节约器

• 描述： 空闲时自动暂停 Docker Desktop 以节省系统资源。
• 操作系统： 所有
• 用例： 当 Docker Desktop 未被积极使用时，减少 CPU 和内存使用。
• 使用此设置进行配置
  • Docker Desktop GUI 中的高级资源设置

文件共享目录

• 描述： 可以作为卷挂载到容器中的主机目录。
• 操作系统： 所有
• 用例： 定义容器可以访问哪些主机目录以进行开发工作流程。
• 使用此设置进行配置
  • Docker Desktop GUI 中的文件共享资源设置
  • 设置管理：admin-settings.json 文件中的 filesharingAllowedDirectories 设置
  • 设置管理：Admin Console 中的允许文件共享目录设置

注意

在加固环境中，锁定为明确的允许列表并禁用最终用户编辑。

代理排除

• 描述： 容器在使用代理设置时应绕过的网络地址。
• 操作系统： 所有
• 用例： 为内部服务或特定域定义代理例外。
• 使用此设置进行配置
  • Docker Desktop GUI 中的代理资源设置
  • 设置管理：admin-settings.json 文件中具有 manual 和 exclude 模式的 proxy 设置

注意

在加固环境中，禁用并锁定此设置以保持严格的代理控制。

Docker 子网

• 描述： 覆盖用于 *.docker.internal 的 vpnkit DHCP/DNS 的网络范围。
• 操作系统： 仅限 Mac
• 用例： 自定义用于 Docker 容器网络的子网。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 vpnkitCIDR 设置
  • 设置管理：Admin Console 中的 VPN Kit CIDR 设置

UDP 使用内核网络

• 描述： 使用主机的内核网络栈处理 UDP 流量，而不是 Docker 的虚拟网络驱动。这可以实现更快、更直接的 UDP 通信，但可能会绕过某些容器隔离功能。
• 操作系统： 所有
• 用例： 提高 UDP 密集型应用程序（如实时媒体、DNS 或游戏）的性能。
• 使用此设置进行配置
  • Docker Desktop GUI 中的网络资源设置

启用主机网络

• 描述： 实验性支持容器直接使用主机网络栈。
• 操作系统： 所有
• 用例： 允许容器在特定场景下绕过 Docker 的网络隔离。
• 使用此设置进行配置
  • Docker Desktop GUI 中的网络资源设置

网络模式

• 描述： Docker 创建新网络时使用的默认 IP 协议。
• 操作系统： Windows 和 Mac
• 用例： 与仅支持 IPv4 或 IPv6 的网络基础设施保持一致。
• 使用此设置进行配置
  • Docker Desktop GUI 中的网络资源设置
  • 设置管理：admin-settings.json 文件中的 defaultNetworkingMode 设置

有关更多信息，请参阅网络。

禁用 IPv4/IPv6 的 DNS 解析

• 描述： 过滤不支持的 DNS 记录类型。需要 Docker Desktop 4.43 及更高版本。
• 操作系统： Windows 和 Mac
• 用例： 控制 Docker 如何过滤返回给容器的 DNS 记录，从而提高仅支持 IPv4 或 IPv6 的环境中的可靠性。
• 使用此设置进行配置
  • Docker Desktop GUI 中的网络资源设置
  • 设置管理：admin-settings.json 文件中的 dnsInhibition 设置

有关更多信息，请参阅网络。

启用 WSL 引擎

• 描述： 如果此值设置为 true，Docker Desktop 将使用基于 WSL2 的引擎。这会覆盖安装时使用 --backend=<backend name> 标志设置的任何内容。
• 操作系统： 仅限 Windows + WSL
• 用例： 在 Windows 上使用 WSL 2 后端运行 Linux 容器以获得更好的性能。
• 使用此设置进行配置
  • Docker Desktop GUI 中的 WSL 集成资源设置
  • 设置管理：admin-settings.json 文件中的 wslEngineEnabled 设置
  • 设置管理：Admin Console 中的适用于 Linux 的 Windows 子系统 (WSL) 引擎设置

注意

在加固环境中，启用并锁定此设置以提高安全性和性能。

Docker Engine 设置

Docker Engine 设置允许您通过原始 JSON 对象配置底层守护进程设置。这些设置直接传递给为 Docker Desktop 中的容器管理提供动力的 dockerd 进程。

• 描述： 使用直接传递给 dockerd 的结构化 JSON 配置自定义 Docker 守护进程的行为。
• 操作系统： 所有
• 用例： 配置注册表访问、启用调试日志记录或打开实验性功能。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Docker Engine设置

注意

在加固环境中，提供经过审查的配置并锁定它，以防止未经授权的守护进程修改。

重要

此设置的值将原样传递给 Docker 守护进程。无效或不支持的字段可能会导致 Docker Desktop 无法启动。

构建器设置

构建器设置允许您管理 Buildx 构建器实例，以应对高级镜像构建场景，包括多平台构建和自定义后端。

• 描述： 用于高级镜像构建场景的 Buildx 构建器实例。
• 操作系统： 所有
• 用例： 设置跨平台构建、远程构建器或自定义构建环境。
• 使用此设置进行配置
  • Docker Desktop GUI 中的构建器设置

注意

构建器定义是对象数组，每个对象描述一个构建器实例。冲突或不受支持的配置可能会导致构建错误。

AI 设置

启用 Docker Model Runner

• 描述： Docker 模型运行器功能，用于在容器中运行 AI 模型。
• 操作系统： 所有
• 用例： 使用 Docker 基础设施运行和管理 AI/ML 模型。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 enableDockerAI 设置

启用主机端 TCP 支持

• 描述： Docker 模型运行器服务的 TCP 连接。
• 操作系统： 所有
• 用例： 允许外部应用程序通过 TCP 连接到模型运行器。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 enableDockerAI 设置

注意

此设置需要首先启用 Docker 模型运行器设置。

端口

• 描述： 用于模型运行器 TCP 连接的特定端口。
• 操作系统： 所有
• 用例： 自定义模型运行器 TCP 连接的端口。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Beta 功能设置
  • 设置管理：admin-settings.json 文件中的 enableInferenceTCP 设置

CORS 允许来源

• 描述： 用于模型运行器 Web 集成的跨域资源共享设置。
• 操作系统： 所有
• 用例： 允许 Web 应用程序连接到模型运行器服务。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Beta 功能设置
  • 设置管理：admin-settings.json 文件中的 enableInferenceCORS 设置

Kubernetes 设置

启用 Kubernetes

• 描述： 本地 Kubernetes 集群与 Docker Desktop 的集成。
• 操作系统： 所有
• 用例： 为测试和开发提供本地 Kubernetes 开发环境。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Kubernetes设置
  • 设置管理：admin-settings.json 文件中的 kubernetes 设置
  • 设置管理：Admin Console 中的允许 Kubernetes设置

注意

在加固环境中，除非特别需要 Kubernetes 开发，否则禁用并锁定此设置。

重要

通过设置管理策略启用 Kubernetes 时，仅支持 kubeadm 集群配置方法。设置管理尚不支持 kind 配置方法。

选择集群配置方法

• 描述： Kubernetes 集群拓扑和节点配置。
• 操作系统： 所有
• 用例： 根据不同的开发需求选择单节点 (kubeadm) 或多节点 (kind) 集群配置。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Kubernetes设置

Kubernetes 节点数量 (kind 配置)

• 描述： 多节点 Kubernetes 集群中的节点数量。
• 操作系统： 所有
• 用例： 扩展集群规模以测试分布式应用程序或集群功能。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Kubernetes设置

Kubernetes 节点版本 (kind 配置)

• 描述： 用于集群节点的 Kubernetes 版本。
• 操作系统： 所有
• 用例： 固定特定 Kubernetes 版本以实现一致性或兼容性要求。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Kubernetes设置

显示系统容器

• 描述： Docker Desktop Dashboard 中 Kubernetes 系统容器的可见性。
• 操作系统： 所有
• 用例： 允许开发者查看和调试 kube-system 容器。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Kubernetes设置

注意

在加固环境中，禁用并锁定此设置以降低界面复杂性。

自定义 Kubernetes 镜像仓库

• 描述：用于 Kubernetes 控制平面镜像的注册表，而不是 Docker Hub。这允许 Docker Desktop 从私有注册表或镜像而不是 Docker Hub 拉取 Kubernetes 系统镜像。此设置会覆盖镜像名称的 [registry[:port]/][namespace] 部分。
• 操作系统：所有
• 用例：支持空投环境或 Docker Hub 访问受限的情况。
• 使用此设置进行配置:
  • 设置管理：admin-settings.json 文件中的 KubernetesImagesRepository 设置
  • 设置管理：Admin Console 中的Kubernetes 镜像仓库设置

注意

镜像必须从 Docker Hub 镜像，并带有匹配的标签。所需的镜像取决于集群配置方法。

重要

将自定义镜像仓库与增强型容器隔离配合使用时，请将这些镜像添加到 ECI 允许列表：[imagesRepository]/desktop-cloud-provider-kind:* 和 [imagesRepository]/desktop-containerd-registry-mirror:*。

软件更新设置

自动检查更新

• 描述： Docker Desktop 是否检查并通知可用更新。如果此值设置为 true，则禁用检查更新和 Docker Desktop 更新通知。
• 操作系统： 所有
• 用例： 控制更新通知和自动版本检查。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 disableUpdate 设置
  • 设置管理：Admin Console 中的禁用更新设置

注意

在加固环境中，启用并锁定此设置。这保证只安装经过内部审查的版本。

始终下载更新

• 描述： Docker Desktop 可用时自动下载更新。
• 操作系统： 所有
• 用例： 管理带宽使用并控制何时下载更新。
• 使用此设置进行配置
  • Docker Desktop GUI 中的软件更新设置
  • 设置管理：Admin Console 中的禁用更新设置

扩展设置

启用 Docker 扩展

• 描述： 访问 Docker Extensions 市场和已安装的扩展。
• 操作系统： 所有
• 用例： 控制用户是否可以安装和运行 Docker Extensions。
• 使用此设置进行配置
  • Docker Desktop GUI 中的扩展设置
  • 设置管理：admin-settings.json 文件中的 extensionsEnabled 设置
  • 设置管理：Admin Console 中的允许扩展设置

注意

在加固环境中，禁用并锁定此设置。这可以防止安装第三方或未经审查的插件。

只允许通过 Docker Marketplace 分发的扩展

• 描述： 将 Docker Extensions 限制为仅通过官方市场提供的扩展。
• 操作系统： 所有
• 用例： 防止安装第三方或本地开发的扩展。
• 使用此设置进行配置
  • Docker Desktop GUI 中的扩展设置

显示 Docker Extensions 系统容器

• 描述： Docker Extensions 使用的系统容器在容器列表中的可见性。
• 操作系统： 所有
• 用例： 帮助开发者通过查看底层容器来排除扩展问题。
• 使用此设置进行配置
  • Docker Desktop GUI 中的扩展设置

Beta 功能设置

重要

对于 Docker Desktop 4.41 及更早版本，这些设置位于开发中功能页面上的实验性功能选项卡下。

启用 Docker AI

• 描述： Docker AI 功能，包括“询问 Gordon”功能。
• 操作系统： 所有
• 用例： 在 Docker Desktop 中开启 AI 辅助和推荐功能。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Beta设置
  • 设置管理：admin-settings.json 文件中的 enableDockerAI 设置

启用 Docker MCP 工具包

• 描述： 在 Docker Desktop 中启用 Docker MCP 工具包。
• 操作系统： 所有
• 用例： 开启 MCP 工具包功能以进行 AI 模型开发工作流程。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Beta设置
  • 设置管理：admin-settings.json 文件中的 enableDockerMCPToolkit 设置

启用 Wasm

• 描述： 启用 Wasm 以运行 Wasm 工作负载。
• 操作系统： 所有
• 用例： 在 Docker 容器中运行 WebAssembly 应用程序和模块。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Beta设置

启用 Compose Bridge

• 描述： 启用 Compose Bridge。
• 操作系统： 所有
• 用例： 开启增强的 Compose 功能和集成。
• 使用此设置进行配置
  • Docker Desktop GUI 中的Beta设置

通知设置

任务和进程的状态更新

• 描述： Docker Desktop 中显示的一般信息性消息。
• 操作系统： 所有
• 用例： 控制操作状态消息和进程更新的可见性。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通知设置

Docker 推荐

• 描述： Docker Desktop 中显示的促销内容和功能推荐。
• 操作系统： 所有
• 用例： 管理 Docker 营销内容和功能推广的曝光。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通知设置

Docker 公告

• 描述： Docker Desktop 中显示的一般公告和新闻。
• 操作系统： 所有
• 用例： 控制 Docker 范围内的公告和重要更新的可见性。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通知设置

Docker 调查

• 描述： 显示给用户的调查邀请和反馈请求。
• 操作系统： 所有
• 用例： 管理用户参与 Docker 产品反馈和研究。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通知设置

Docker Scout 通知弹出窗口

• 描述： 来自 Docker Scout 漏洞扫描的应用程序内通知。
• 操作系统： 所有
• 用例： 控制漏洞扫描结果和安全建议的可见性。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通知设置

Docker Scout 操作系统通知

• 描述： 来自 Docker Scout 的操作系统级通知。
• 操作系统： 所有
• 用例： 通过系统通知中心接收 Scout 安全警报。
• 使用此设置进行配置
  • Docker Desktop GUI 中的通知设置

高级设置

配置 Docker CLI 安装

• 描述： Docker CLI 二进制文件安装的文件系统位置。
• 操作系统： 所有
• 用例： 自定义 CLI 安装位置以满足合规性或工具集成要求。
• 使用此设置进行配置
  • Docker Desktop GUI 中的高级设置

允许使用默认 Docker 套接字

• 描述： 默认情况下，增强型容器隔离会阻止将 Docker Engine 套接字绑定挂载到容器中（例如，docker run -v /var/run/docker.sock:/var/run/docker.sock ...）。这允许您以受控方式放宽此限制。有关更多信息，请参阅 ECI 配置。
• 操作系统： 所有
• 用例： 支持 Docker-in-Docker 场景、CI 代理或 Testcontainers 等工具，同时保持增强型容器隔离。
• 使用此设置进行配置
  • Docker Desktop GUI 中的高级设置
  • 设置管理：admin-settings.json 文件中的 dockerSocketMount 设置

允许特权端口映射

• 描述： 允许将容器端口绑定到主机上的特权端口 (1-1024)。
• 操作系统： 仅限 Mac
• 用例： 允许容器使用标准服务端口，例如 HTTP (80) 或 HTTPS (443)。
• 使用此设置进行配置
  • Docker Desktop GUI 中的高级设置

Docker Desktop 中不可用的设置

以下设置未显示在 Docker Desktop GUI 中。您只能使用 Admin Console 或 admin-settings.json 文件通过设置管理来配置它们。

阻止 docker load

• 描述： 防止用户使用 docker load 命令加载本地 Docker 镜像。
• 操作系统： 所有
• 用例： 通过要求所有镜像都来自注册表来强制执行镜像来源。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 blockDockerLoad 设置

注意

在加固环境中，启用并锁定此设置。这会强制所有镜像都来自您安全的、经过扫描的注册表。

在 TCP 2375 上公开 Docker API

• 描述： 通过 TCP 2375 端口公开未经身份验证的 Docker API。仅建议用于隔离和受保护的环境。
• 操作系统： 仅限 Windows
• 用例： 支持需要 TCP API 访问的旧版集成。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 exposeDockerAPIOnTCP2375

注意

在加固环境中，禁用并锁定此设置。这确保 Docker API 只能通过安全的内部套接字访问。

空投容器代理

• 描述： 空投环境中容器的 HTTP/HTTPS 代理配置。
• 操作系统： 所有
• 用例： 为离线或受限网络环境中的容器提供受控网络访问。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 containersProxy 设置

示例

"containersProxy": {
  "locked": true,
  "mode": "manual",
  "http": "",
  "https": "",
  "exclude": [],
  "pac": "",
  "transparentPorts": ""
}

Docker 套接字访问控制 (ECI 例外)

• 描述： 在增强型容器隔离激活时，允许使用 Docker 套接字的特定镜像和命令。
• 操作系统： 所有
• 用例： 支持需要 Docker 套接字访问的工具，例如 Testcontainers、LocalStack 或 CI 系统，同时保持安全性。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 enhancedContainerIsolation > dockerSocketMount

示例

"enhancedContainerIsolation": {
  "locked": true,
  "value": true,
  "dockerSocketMount": {
    "imageList": {
      "images": [
        "docker.io/localstack/localstack:*",
        "docker.io/testcontainers/ryuk:*"
      ]
    },
    "commandList": {
      "type": "deny",
      "commands": ["push"]
    }
  }
}

允许 Beta 功能

• 描述： 访问公共 Beta 版中的 Docker Desktop 功能。
• 操作系统： 所有
• 用例： 为开发中的功能提供早期访问，以进行测试和反馈。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 allowBetaFeatures 设置

注意

在加固环境中，禁用并锁定此设置。

Docker 守护进程选项 (Linux 或 Windows)

• 描述： 覆盖 Linux 或 Windows 容器中使用的 Docker 守护进程配置。
• 操作系统： 所有
• 用例： 配置高级守护进程选项，而无需修改本地配置文件。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 linuxVM.dockerDaemonOptions 或 windowsContainers.dockerDaemonOptions

注意

在加固环境中，提供经过审查的 JSON 配置并锁定它，以防止任何覆盖。

VPNKit CIDR

• 描述： Docker Desktop 内部 VPNKit DHCP/DNS 服务使用的网络子网。
• 操作系统： 仅限 Mac
• 用例： 防止在具有重叠网络子网的环境中出现 IP 地址冲突。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 vpnkitCIDR 设置
  • 设置管理：Admin Console 中的 VPN Kit CIDR 设置

注意

在加固环境中，锁定为经批准的、不冲突的 CIDR。

启用 Kerberos 和 NTLM 认证

• 描述： Kerberos 和 NTLM 协议的企业代理认证支持。
• 操作系统： 所有
• 用例： 支持需要 Kerberos 或 NTLM 认证的企业代理服务器。
• 使用此设置进行配置
  • 设置管理：admin-settings.json 文件中的 proxy.enableKerberosNtlm