Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

8.4.3. APB 过滤

APB 可使用 white_listblack_list 参数的组合(根据代理配置中的 registry)组合来筛选其镜像名称。

这两者都是可选的正则表达式列表,这些表达式将在给定 registry 的总发现的 APB 中运行,以确定匹配项。

表 8.2. APB 过滤器行为

存在允许阻塞

只有白名单

匹配列表中的正则表达式。

任何不匹配的 APB。

只有黑名单

所有不匹配的 APB。

与列表中正则表达式匹配的 APB。

两者都存在

匹配白名单中的正则表达式,当不在黑名单中。

与黑名单中的正则表达式匹配的 APB。

没有来自 registry 的 APB。

来自该 registry 的所有 APB。

例如:

仅有白名单

white_list:
  - "foo.*-apb$"
  - "^my-apb$"

对于 foo.*-apb$ 的任何匹配,在这种情况下,仅允许使用 my-apb。所有其他 APB 都会被拒绝。

仅有黑名单

black_list:
  - "bar.*-apb$"
  - "^foobar-apb$"

任何与 bar.*-apb$ 以及本例中只有 foobar-apb 的匹配都会被阻断。所有其他 APB 都将被允许。

白名单和黑名单

white_list:
  - "foo.*-apb$"
  - "^my-apb$"
black_list:
  - "^foo-rootkit-apb$"

此处,foo-rootkit-apb 由黑名单明确阻止,尽管白名单匹配会被覆盖。

否则,只允许与 foo.*-apb$my-apb 匹配的通过。

代理配置 registry 示例部分:

registry:
  - type: dockerhub
    name: dockerhub
    url: https://registry.hub.docker.com
    user: <user>
    pass: <password>
    org: <org>
    white_list:
      - "foo.*-apb$"
      - "^my-apb$"
    black_list:
      - "bar.*-apb$"
      - "^foobar-apb$"