使用策略強制執行 Docker 強化映象使用
自動映象 Docker 強化映象 (DHI) 倉庫會啟用 Docker Scout,讓您無需額外設定即可開始為映象強制執行安全和合規策略。使用 Docker Scout 策略,您可以定義和應用規則,確保只有經過批准且安全的映象(例如基於 DHI 的映象)在您的所有環境中得到使用。
透過內置於 Docker Scout 中的策略評估功能,您可以即時監控映象合規性,將檢查整合到您的 CI/CD 工作流程中,並維護映象安全性和來源的一致標準。
檢視現有策略
要檢視應用於映象 DHI 倉庫的當前策略
在 Docker Hub 中轉到映象 DHI 倉庫。
選擇 在 Scout 中檢視。
這將開啟 Docker Scout 控制檯,您可以在其中檢視當前活動的策略以及您的映象是否符合策略標準。
當新映象被推送時,Docker Scout 會自動評估策略合規性。每個策略都包含合規性結果以及指向受影響映象和層的連結。
為基於 DHI 的映象建立策略
為了確保您使用 Docker 強化映象構建的映象保持安全,您可以根據自己的需求為自己的倉庫建立 Docker Scout 策略。這些策略有助於執行安全標準,例如防止高危漏洞、要求使用最新基礎映象或驗證關鍵元資料的存在。
策略會在映象被推送到倉庫時進行評估,讓您可以跟蹤合規性、接收偏差通知,並將策略檢查整合到您的 CI/CD 管道中。
示例:為基於 DHI 的映象建立策略
此示例演示如何建立一個策略,要求組織中的所有映象都使用 Docker 強化映象作為其基礎。這可確保您的應用程式構建在安全、最小化且生產就緒的映象上。
步驟 1:在 Dockerfile 中使用 DHI 基礎映象
建立一個 Dockerfile,使用 Docker 強化映象映象倉庫作為基礎。例如:
# Dockerfile
FROM ORG_NAME/dhi-python:3.13-alpine3.21
ENTRYPOINT ["python", "-c", "print('Hello from a DHI-based image')"]步驟 2:構建並推送映象
開啟終端並導航到包含 Dockerfile 的目錄。然後,構建並將映象推送到您的 Docker Hub 倉庫。
$ docker build \
--push \
-t YOUR_ORG/my-dhi-app:v1 .
步驟 3:啟用 Docker Scout
要在您的組織和倉庫中啟用 Docker Scout,請在終端中執行以下命令:
$ docker login
$ docker scout enroll YOUR_ORG
$ docker scout repo enable --org YOUR_ORG YOUR_ORG/my-dhi-app
步驟 4:建立策略
- 轉到 Docker Scout 控制檯。
- 選擇您的組織並導航到策略。
- 選擇新增策略。
- 選擇批准的基礎映象策略的配置。
- 為策略命名一個符合要求的名稱,例如批准的 DHI 基礎映象。
- 在批准的基礎映象源中,刪除預設項。
- 在批准的基礎映象源中,新增批准的基礎映象源。對於此示例,使用萬用字元 (
*) 允許所有映象 DHI 倉庫,docker.io/ORG_NAME/dhi-*。將ORG_NAME替換為您的組織名稱。 - 選擇儲存策略。
步驟 5:評估策略合規性
- 轉到 Docker Scout 控制檯。
- 選擇您的組織並導航到映象。
- 找到您的映象
YOUR_ORG/my-dhi-app:v1,然後選擇合規性列中的連結。
這將顯示您的映象的策略合規性結果,包括它是否符合批准的 DHI 基礎映象策略的要求。
您現在可以在 CI 中評估策略合規性。