Docker 17参考手册

引擎: 安全 | Engine: Security

内容信任自动化（引擎） | Automation with content trust (Engine)

您的自动化系统拉取或构建镜像也可以信任。DOCKER_CONTENT_TRUST在处理镜像之前，任何自动化环境都必须手动设置或以脚本方式设置。

绕过密码短语的请求

要允许工具打包docker并推送可信内容，有两个环境变量允许您提供没有期望脚本的密码短语，或者输入它们：

DOCKER_CONTENT_TRUST_ROOT_PASSPHRASE

DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE

Docker尝试将这些环境变量的内容用作密钥的密码。例如，图像发布者可以导出存储库target和snapshot密码短语：

$  export DOCKER_CONTENT_TRUST_ROOT_PASSPHRASE="u7pEQcGoebUHm6LHe6"
$  export DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE="l7pEQcTKJjUHm6Lpe4"

然后，在推送新标签时，Docker客户端不会请求这些值，而是自动标记：

$  docker push docker/trusttest:latest
The push refers to a repository [docker.io/docker/trusttest] (len: 1)
a9539b34a6ab: Image already exists
b3dbab3810fc: Image already exists
latest: digest: sha256:d149ab53f871 size: 3355
Signing and pushing trust metadata

直接使用公证客户端时，它将使用自己的一组环境变量。

内容信任构建

您也可以使用内容信任进行构建。在运行docker build命令之前，您应该DOCKER_CONTENT_TRUST手动或以脚本方式设置环境变量。考虑下面的简单Dockerfile。

FROM docker/trusttest:latest
RUN echo

FROM标签被拉动签署图像。您无法构建具有FROM本地或未签署的图像。鉴于标记存在内容信任数据latest，以下构建应该成功：

$  docker build -t docker/trusttest:testing .
Using default tag: latest
latest: Pulling from docker/trusttest

b3dbab3810fc: Pull complete
a9539b34a6ab: Pull complete
Digest: sha256:d149ab53f871

如果启用了内容信任，则从依赖于标记而没有信任数据的Dockerfile构建，会导致构建命令失败：

$  docker build -t docker/trusttest:testing .
unable to process Dockerfile: No trust data for notrust

相关信息

Docker中的内容信任

管理内容信任的密钥

内容信任代表团

在内容信任沙箱中播放

信任，安全，docker，文档，自动化

引擎: 安全 | Engine: Security相关

1.Docker的AppArmor安全配置文件 \| AppArmor security profiles for Docker (Engine)
2.Docker中的内容信任 \| Content trust in Docker (Engine)
3.内容信任代表 \| Delegations for content trust (Engine)
4.部署公证人 \| Deploying Notary (Engine)
5.Docker安全性 \| Docker security (Engine)
6.Docker安全性非事件 \| Docker security non-events (Engine)
7.使用用户命名空间隔离容器 \| Isolate containers with a user namespace (Engine)
8.管理内容信任的密钥 \| Manage keys for content trust (Engine)
9.在内容信任沙箱中演示 \| Play in a content trust sandbox (Engine)
10.保护Docker守护程序套接字 \| Protect the Docker daemon socket (Engine)
11.Secer的Seccomp安全配置文件 \| Seccomp security profiles for Docker (Engine)
12.安全引擎 \| Secure Engine
13.使用可信图像 \| Use trusted images
14.使用证书进行存储库客户端验证 \| Using certificates for repository client verification (Engine)

Docker 17

Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口。

主页	https://docker.com/
源码	https://github.com/docker/docker
版本	17
发布版本	17.06

Docker 17目录

1.撰写 \| Compose
2.引擎 \| Engine
3.引擎: 管理员指南 \| Engine: Admin Guide
4.引擎: CLI \| Engine: CLI
5.引擎: 扩展 \| Engine: Extend
6.引擎: 安全 \| Engine: Security
7. 引擎: 教程 \| Engine: Tutorials
8.开始 \| Get Started
9.机器 \| Machine
10.公证 \| Notary
11.CentOS Docker 安装
12.Docker pause/unpause 命令
13.Docker start/stop/restart 命令
14.Docker create 命令
15.Docker kill 命令
16.Docker exec 命令
17.Docker run 命令
18.Docker 命令大全
19.Docker login/logout 命令
20.Docker pull 命令
21.Docker push 命令
22.Docker search 命令
23.Docker events 命令
24.Docker top 命令
25.Docker attach 命令
26.Docker ps 命令
27.Docker inspect 命令
28.Docker rm 命令
29.Docker rmi 命令
30.Docker images 命令
31.Docker port 命令
32.Docker export 命令
33.Docker commit 命令
34.Docker wait 命令
35.Docker cp 命令
36.Docker diff 命令
37.Docker logs 命令
38.Docker 资源汇总
39.Docker version 命令
40.Docker info 命令
41.Docker import 命令
42.Docker save 命令
43.Docker history 命令
44.Docker build 命令
45.Docker tag 命令
46.Docker load 命令
47.Debian Docker 安装