Estamos desenvolvendo e construindo imagens de janela de encaixe em nossa intranet e precisamos implantá-las em vários hosts que pertencem a nós (desenvolvedores, testes internos, testes externos e assim por diante). Alguns deles estão em nossa intranet, outros são acessíveis para terceiros na Internet.
A implantação final está dentro da intranet do cliente em vários nós (produção, diferentes estágios de teste). Eles estão protegidos por firewalls que não permitem que eles acessem coisas fora de sua intranet regularmente, ou seja, enquanto alguns deles podem acessar um registro externo para implantação, outros não e imagens precisam ser entregues manualmente por meio de um upload de software arcano ferramenta.
Estou procurando uma maneira de ter um registro na Internet (possivelmente executado por nós mesmos em algumas VMs lá fora, de preferência não) que permita que as imagens sejam armazenadas criptografadas (de preferência GPG ou similar, e não uma senha simples). Mas também poder simplesmente entregar "metade" das coisas por meio de algum mecanismo de upload manualmente. O cliente é muito paranóico, portanto, é importante manter a criptografia de ponta a ponta.
Existe uma ferramenta que vem à mente, que é perfeitamente capaz de lidar com isso? Uma solução seria espelhar o registro completo nas instalações do cliente em um host dedicado, mantendo a parte de criptografia intacta.
Uma solução "padrão" seria ótima, eu seria relutante em hackear algo juntos, se já houver algo mais enxuto / leve / estabelecido / estável.
EDITAR (+ editar no título): Um extenso esquema de permissão como o oferecido pelo Portus é um bom começo, mas eu estou procurando idealmente a criptografia de ponta a ponta das imagens reais. O cliente é ultra paranóico e está começando a usar o Docker, serviços baseados em nuvem etc.
fonte
I am looking for a way to have a registry [...] which allows the images to be stored encrypted (preferably GPG or similar, not a simple password).
Respostas:
O Google Container Registry é uma opção em potencial.
O fato de o registro fazer parte da Cloud Platform do Google também significa que você pode criar outras coisas interessantes. Por exemplo, você pode configurar uma VM para servir como proxy reverso e configurar o firewall GCP para permitir apenas 443 a partir de um determinado conjunto de IPs (como os escritórios de seus clientes).
fonte
Dê uma olhada em https://github.com/Senetas/crypto-cli
Ele permite criptografar / descriptografar contêineres ao empurrar e puxar de um repositório público ou privado.
(Divulgação completa, eu conheço o cara que escreveu)
fonte