Вход в Docker для всей системы?

Question

На ум приходят три варианта:

Не делайте образ приватным, а вместо этого разрешите любому, кто может получить доступ к серверу реестра, извлечь образ. Это довольно распространено в средах, поскольку образ должен содержать только библиотеки и двоичные файлы для запуска приложения, а не файлы конфигурации, секреты или данные, которые будут внедрены во время выполнения или сохранены в томе.
Если у всех есть доступ к sudo, запустите команды docker из sudo, включая логин. Учетные данные будут сохранены под пользователем root~/.docker/config.json
Создайте свой собственный помощник по учетным данным, который просто выводит логин на хост. Интерфейс помощника по учетным данным довольно прост, 4 операции (хранить, получать, перечислять, стирать), которые можно реализовать в скрипте оболочки. А для логинов вам, вероятно, понадобится только операция get.

Этот вспомогательный скрипт учетных данных может выглядеть так: docker-credential-your-helper(где your-helperможет быть выбрано любое имя):

#!/bin/sh

your_registry='
{ "ServerURL": "your-registry",
  "Username": "your-user",
  "Secret": "your-pass"
}
'

if [ "$1" = "get" ]; then
  read hostname
  case "$hostname" in
    your-registry)
      echo "${your_registry}"
      exit 0
      ;;
  esac
elif [ "$1" = "list" ]; then
  echo "your-registry"
fi
# everything else is unhandled
exit 1

Сделайте этот файл исполняемым и поместите его в путь. Тогда у каждого пользователя ~/.docker/config.jsonбудет запись помощника учетных данных (обратите внимание, что docker-credential-она не включена в этот файл, только часть имени файла после нее):

{
  "credHelpers": {
    "your-host": "your-helper"
  }
}

Answer 1

На ум приходят три варианта:

Не делайте образ приватным, а вместо этого разрешите любому, кто может получить доступ к серверу реестра, извлечь образ. Это довольно распространено в средах, поскольку образ должен содержать только библиотеки и двоичные файлы для запуска приложения, а не файлы конфигурации, секреты или данные, которые будут внедрены во время выполнения или сохранены в томе.
Если у всех есть доступ к sudo, запустите команды docker из sudo, включая логин. Учетные данные будут сохранены под пользователем root~/.docker/config.json
Создайте свой собственный помощник по учетным данным, который просто выводит логин на хост. Интерфейс помощника по учетным данным довольно прост, 4 операции (хранить, получать, перечислять, стирать), которые можно реализовать в скрипте оболочки. А для логинов вам, вероятно, понадобится только операция get.

Этот вспомогательный скрипт учетных данных может выглядеть так: docker-credential-your-helper(где your-helperможет быть выбрано любое имя):

#!/bin/sh

your_registry='
{ "ServerURL": "your-registry",
  "Username": "your-user",
  "Secret": "your-pass"
}
'

if [ "$1" = "get" ]; then
  read hostname
  case "$hostname" in
    your-registry)
      echo "${your_registry}"
      exit 0
      ;;
  esac
elif [ "$1" = "list" ]; then
  echo "your-registry"
fi
# everything else is unhandled
exit 1

Сделайте этот файл исполняемым и поместите его в путь. Тогда у каждого пользователя ~/.docker/config.jsonбудет запись помощника учетных данных (обратите внимание, что docker-credential-она не включена в этот файл, только часть имени файла после нее):

{
  "credHelpers": {
    "your-host": "your-helper"
  }
}

Вход в Docker для всей системы?

решение1

Связанный контент