クラウドコンピューティングコアテクノロジー Dockerチュートリアル: Dockerデーモン dockerd 安全でないレジストリ

Docker はプライベート レジストリを安全か安全でないかを判断します。このセクションの残りの部分では、 registry はプライベート レジストリに使用され、 myregistry:5000 はプライベート レジストリのプレースホルダーの例です。

セキュア レジストリは TLS を使用し、CA 証明書のコピーを Docker ホストの /etc/docker/certs.d/myregistry:5000/ca.crt に配置します。安全でないレジストリは、TLS を使用していない (つまり、プレーンテキスト HTTP をリッスンしている) か、Docker デーモンに認識されない CA 証明書で TLS を使用しています。後者は、 /etc/docker/certs.d/myregistry:5000/ の下に証明書が見つからない場合、または証明書の検証が失敗した場合 (例: CA が間違っている) に発生する可能性があります。

デフォルトでは、Docker はすべてのレジストリが安全であると想定します。 Docker がレジストリを安全であると判断すると、安全でないレジストリとは通信できません。安全でないレジストリと通信するには、Docker デーモンに次の 2 つの形式の --insecure-registry のいずれかが必要です。

• --insecure-registry myregistry:5000 は、Docker デーモンに myregistry:5000 は安全でないとみなすように指示します。
• --insecure-registry 10.1.0.0/16 は、ドメインが IP アドレスに解決されるすべてのレジストリが CIDR 構文で記述されたサブネットの一部であり、安全でないと見なす必要があることを Docker デーモンに伝えます。

このフラグを複数回使用して、複数のレジストリを安全でないとしてマークすることができます。

安全でないレジストリが安全でないとマークされていない場合、docker pull、docker push、docker search を実行するとエラー メッセージが表示され、ユーザーにレジストリを保護するか、上記のように --insecure-registry フラグを使用して Docker デーモンに提供するように求められます。

Docker 1.3.2 以降では、IP アドレスが 127.0.0.0/8 の範囲にあるローカル レジストリは自動的に安全でないとマークされます。将来変更される可能性があるため、この方法に依存することはお勧めしません。

• --insecure-registry を有効にする (つまり、暗号化されていない通信や信頼できない通信を許可する) と、ローカル レジストリを実行するときに便利な場合があります。ただし、これを使用するとセキュリティ上の脆弱性が生じる可能性があるため、テスト目的でのみ有効にする必要があります。セキュリティを強化するために、ユーザーは --insecure-registry を有効にする代わりに、システムの信頼できる CA リストに CA を追加する必要があります。

レガシーレジストリ

従来の v1 プロトコルのみをサポートするレジストリに対する操作はサポートされなくなりました。具体的には、デーモンは V1 に登録するためにプッシュ、プル、ログインを試行しません。唯一の例外は、v1 レジストリでは引き続き検索を実行できることです。