我希望在使用防火墙 IP 地址白名单的企业环境中实施 Docker。不幸的是,不能选择按域列入白名单。
是否有我需要打开以允许计算机完全访问 Docker Hub 的所有 IP 地址(包括端口)的列表?
还想知道是否有任何建议的策略来监控这些内容是否随着时间的推移而发生变化,以便我可以确保防火墙规则得到更新?
您可以定期运行 dig 命令并解析返回的 IP。这是挖掘结果
;; ANSWER SECTION:
hub.docker.com. 9 IN CNAME elb-default.us-east-1.aws.dckr.io.
elb-default.us-east-1.aws.dckr.io. 276 IN CNAME us-east-1-elbdefau-1nlhaqqbnj2z8-140214243.us-east-1.elb.amazonaws.com.
us-east-1-elbdefau-1nlhaqqbnj2z8-140214243.us-east-1.elb.amazonaws.com. 55 IN A 52.7.223.172
us-east-1-elbdefau-1nlhaqqbnj2z8-140214243.us-east-1.elb.amazonaws.com. 55 IN A 54.208.38.120
us-east-1-elbdefau-1nlhaqqbnj2z8-140214243.us-east-1.elb.amazonaws.com. 55 IN A 54.86.125.243
这表明 hub.docker.com 是指向 AWS Elastic Load Balancer 实例的 CNAME。 ELB 不能保证始终具有相同的 IP,因此这个解决方案绝对是一种 hack,但您可能会从中得到一些好处。
如果您的 IT 部门具有限制性规则,您可能需要 Docker TrustedRegistry,它允许您在自己的环境中部署私有注册表,仅绑定到一个 IP,并通过防火墙规则锁定。