Registry Access Management

• Docker Hub (デフォルトで有効)
• Amazon ECR
• GitHub Container Registry
• Google Container Registry
• Nexus
• Artifactory

サインインを強制するため、registry.json を設定する必要があります。Registry Access Management を有効にするには、Docker Desktop ユーザーが組織に認証される必要があります。

Registry Access Management 権限を設定するには、次の操作を行います。

1. 組織のオーナーとして Docker Hub アカウントにログインします。
2. 組織を選択して、[Organizations] ページの [Settings] タブに移動し、[Registry Access] をクリックします。

3. Registry Access Management を切り替えて、レジストリの権限を設定します。

   注意: 有効にすると、Docker Hub レジストリがデフォルトで設定されますが、開発者に対してこのレジストリを制限することもできます。
4. レジストリをリストに追加するには、[Add] を選択し、該当するフィールドにレジストリの詳細を入力し、[Create] をクリックします。

5. レジストリがリストに表示されたことを確認し、[Save & Apply] をクリックします。変更が保存されたことは、[Activity] タブで確認できます。追加できるレジストリの数に制限はありません。

   注意: レジストリを追加すると、開発者のマシンに変更が反映されるまで最大 24 時間かかります。変更をすぐに適用したい場合は、開発者のマシンで Docker ログアウトを強制し、開発者に Docker Desktop を再認証してもらう必要があります。

新しい Registry Access Management ポリシーは、開発者が組織の認証情報を使用して Docker Desktop の認証に成功した後に有効になります。開発者が Docker CLI 経由で許可されていないレジストリからイメージをプルしようとすると、組織がこのレジストリを許可していないというエラー メッセージが表示されます。

Registry Access Management を使用する場合、いくつかの制限があります。

• Windows イメージのプルやイメージのビルドは制限されません。
• Kubernetes ドライバーを使用した docker buildx などのビルドは制限されません。
• カスタム docker-container ドライバーを使用した docker buildx などのビルドは制限されません。
• ブロックは DNS ベースです。レジストリのアクセス制御メカニズムを使用して、プッシュとプルを区別する必要があります。
• WSL 2 は、少なくとも 5.4 シリーズの Linux カーネルを必要とします (これは、以前の Linux カーネル シリーズには適用されません)。
• WSL 2 ネットワークでは、すべての Linux ディストリビューションからのトラフィックが制限されます (これは、5.15 シリーズの Linux カーネルで解決される予定です)。
• 現在、Hyper-V Windows コンテナーではサポートされていません。

また、Registry Access Management は IP アドレスではなく、ホストのレベルで動作します。開発者は、ローカル プロキシに対して Docker を実行したり、オペレーティング システムの sts ファイルを変更するなどして、ドメイン解決内でこの制限をバイパスできます。Docker Desktop では、このような操作のブロックはサポートしていません。