如何使用 docker scout repo disable 命令禁用仓库

简介

在本次实验中，你将学习如何使用 docker scout repo disable 命令，通过有效“禁用”仓库来管理镜像源。你将探索如何禁用特定仓库、禁用组织内的所有仓库、根据过滤器禁用仓库，以及从特定镜像仓库（registry）中禁用某个仓库。

通过实践操作，你将了解控制仓库访问如何增强安全性并简化镜像管理工作流程。

Skills Graph

禁用特定仓库

在这一步中，你将学习如何使用 Docker 命令行禁用特定的仓库。禁用一个仓库意味着，当你使用 docker pull 或 docker run 等命令且未使用带有镜像仓库（registry）的完整镜像名称时，Docker 将不再从该特定源拉取镜像。出于安全考虑或为了控制镜像的来源，这样做很有用。

首先，让我们模拟启用一个仓库的情况。虽然 Docker 不像一些包管理器那样有针对单个仓库的显式“启用/禁用”命令，但我们可以通过了解 Docker 如何拉取镜像来达到类似的效果。默认情况下，Docker 从 Docker Hub 拉取镜像。如果你指定了不同的镜像仓库，Docker 就会从那里拉取。要从特定的镜像仓库“禁用”某个特定的仓库，你只需在拉取镜像时不指定该镜像仓库，或者配置 Docker 守护进程以排除它（这更高级，此处不做介绍）。

在这一步，我们将重点关注控制镜像源的概念。假设我们有一个自定义镜像仓库 myregistry.example.com，并且我们希望确保不会意外地从那里拉取 ubuntu 镜像，而只从 Docker Hub 拉取。

为了进行演示，让我们首先尝试从 Docker Hub 拉取一个镜像。这是默认行为。

docker pull ubuntu:latest

你应该会看到输出，表明 Docker 正在从 Docker Hub 拉取 ubuntu:latest 镜像。

现在，让我们模拟尝试从一个假设已禁用的仓库拉取镜像。由于我们没有设置自定义镜像仓库，我们将使用一个命令，如果配置了的话，它会尝试从特定位置拉取。关键在于理解，使用带有镜像仓库前缀的完整镜像名称（registry/repository:tag）可以告诉 Docker 确切的查找位置。如果你不想从 myregistry.example.com/ubuntu 拉取，只需不使用那个完整名称即可。

为了强化从特定位置拉取的概念，让我们拉取另一个镜像 hello-world，它体积很小，下载速度很快。我们仍然从 Docker Hub 拉取这个镜像，但命令结构展示了如果需要的话如何指定镜像仓库。

docker pull docker.io/library/hello-world:latest

在这个命令中，docker.io 是默认的镜像仓库（Docker Hub），library 是官方镜像的默认命名空间，hello-world 是仓库名称。通过显式指定 docker.io/library/hello-world，我们告诉 Docker 从 Docker Hub 拉取。要“禁用”从假设的 myregistry.example.com 拉取 ubuntu 镜像，你只需在 docker pull 或 docker run 命令中避免使用 myregistry.example.com/ubuntu。

这里的核心概念是，Docker 根据提供的镜像名称拉取镜像。如果你提供一个简单的名称，如 ubuntu，Docker 会在其配置的镜像仓库中查找（默认情况下只有 Docker Hub）。如果你提供一个完全限定的名称，如 myregistry.example.com/ubuntu，Docker 会尝试从 myregistry.example.com 拉取。要从特定的镜像仓库“禁用”某个特定的仓库，你只需确保你的命令不使用带有该镜像仓库前缀的仓库名称。

为了验证这一步，我们将检查 hello-world 镜像是否已成功拉取，这表明你已成功执行了 docker pull 命令。

禁用组织的所有仓库

在这一步中，我们将探讨控制对 Docker 镜像仓库（registry）中特定组织或命名空间内所有仓库的访问的概念。与禁用单个仓库类似，在 Docker 中“禁用”组织的所有仓库通常涉及配置或策略，而非单个命令。不过，我们可以通过了解 Docker 如何与镜像仓库交互以及如何避免从特定组织的命名空间拉取镜像来模拟这一过程。

Docker 镜像通常按命名空间进行组织，这些命名空间可以代表组织或个人用户。例如，ubuntu 位于 library 命名空间下（这是 Docker Hub 上的官方镜像），而某家公司的镜像可能位于 mycompany/myimage 这样的命名空间下。要有效地“禁用”像 mycompany 这样的组织的所有仓库，你需要确保 Docker 未配置为从任何镜像仓库上该组织的命名空间拉取镜像。

由于我们主要使用的是连接到 Docker Hub 的标准 Docker 环境，因此没有设置自定义组织来进行禁用操作。不过，我们可以通过尝试从一个不存在的组织拉取镜像，或者展示如果你有权限的话如何列出特定组织的镜像，来演示这一原理。

首先，让我们列出当前拥有的镜像。你应该能看到上一步中的 ubuntu 和 hello-world 镜像。

docker images

现在，假设我们想“禁用”从 Docker Hub 上一个名为 nonexistentorg 的假设组织拉取任何镜像。如果我们尝试从这个组织拉取镜像，Docker 会失败，因为该组织或镜像并不存在。这种拉取失败实际上就是仓库被“禁用”或无法访问的效果。

让我们尝试从一个不存在的组织拉取镜像，看看当仓库不可用时的预期行为。

docker pull nonexistentorg/someimage:latest

你会看到一条错误消息，表明未找到该镜像或仓库。这表明如果没有有效的组织和仓库，Docker 就无法拉取镜像。

在生产环境中，要真正“禁用”对某个组织的仓库的访问，你通常会配置 Docker 守护进程或使用代理来阻止对镜像仓库上该特定命名空间的访问。不过，在本次实验中，关键是要理解 Docker 需要有效的组织和仓库名称才能拉取镜像。通过避免在 docker pull 或 docker run 命令中使用某个组织的命名空间，你就有效地“禁用”了从该组织拉取镜像。

为了验证这一步，我们将检查从不存在的组织拉取镜像的尝试是否导致了错误，这将确认 Docker 无法访问那个假设的仓库。我们可以在命令历史记录中查看 docker pull nonexistentorg/someimage:latest 命令。

根据过滤器禁用仓库

在这一步中，我们将探讨如何使用过滤来管理你要与之交互的仓库。虽然 Docker 没有像过滤文件那样基于任意过滤器“禁用”仓库的内置命令，但你可以通过在列出或搜索镜像时使用过滤，并在 docker pull 命令中精确指定，来达到类似的效果。

过滤是 Docker 中的一个强大功能，它允许你缩小 docker images、docker ps 和 docker search 等命令的结果范围。你可以根据各种条件进行过滤，如图像名称、标签、创建时间等。通过使用过滤器，你可以有效地忽略或排除符合某些模式的仓库，从而在当前视图或操作中“禁用”它们。

首先，让我们列出当前拥有的所有镜像，包括 ubuntu 和 hello-world 镜像。

docker images

现在，假设我们只想查看属于 library 命名空间（其中包括像 ubuntu 和 hello-world 这样的官方镜像）的镜像。我们可以使用 --filter 标志和 reference 条件。reference 过滤器会匹配镜像名称，包括可选的镜像仓库和标签。

docker images --filter "reference=*/library/*"

这个命令将列出引用中包含 /library/ 的镜像。你应该会看到列出了 ubuntu 和 hello-world 镜像。这展示了如何通过过滤来 包含 特定的仓库。

要模拟根据过滤器“禁用”仓库，你实际上要做相反的操作：过滤以 排除 你不想看到或与之交互的仓库。例如，如果你想列出除 library 命名空间之外的所有镜像，你需要更复杂的方法，可能需要编写脚本列出所有镜像，然后根据模式过滤掉它们。

在“禁用”的场景下，过滤更实际的应用是在搜索镜像时。你可以过滤搜索结果，以找到符合特定条件的镜像并忽略其他镜像。

让我们在 Docker Hub 上搜索包含“ubuntu”一词的镜像。

docker search ubuntu

这将显示与 Ubuntu 相关的仓库列表。现在，假设我们只想查看官方的 Ubuntu 镜像。我们可以使用 --filter 标志和 is-official=true 条件。

docker search ubuntu --filter "is-official=true"

这个命令会过滤搜索结果，只显示官方镜像。通过使用这个过滤器，你实际上是在搜索结果中“禁用”或忽略了所有非官方的 Ubuntu 仓库。

关键要点是，虽然没有直接的“按过滤器禁用”命令用于拉取操作，但你可以在 docker images 和 docker search 等命令中使用过滤来管理你对可用仓库的视图，并避免与你想要“禁用”的仓库进行交互。

为了验证这一步，我们将检查你是否成功使用了带有 is-official=true 过滤器的 docker search 命令。

禁用特定镜像仓库（registry）中的仓库

在最后这一步，我们将重点关注如何控制从特定镜像仓库拉取镜像。Docker 可以与多个镜像仓库进行交互，例如 Docker Hub（默认）、Google Container Registry、Amazon Elastic Container Registry 或你自己的私有镜像仓库。“禁用”特定镜像仓库中的某个仓库，意味着要确保 Docker 不会尝试从该指定源拉取特定镜像。

正如我们在前面步骤中学到的，Docker 根据提供的镜像名称拉取镜像。如果你提供一个完全限定的镜像名称，如 myregistry.example.com/myimage:latest，Docker 将尝试从 myregistry.example.com 拉取。如果你提供一个简单的名称，如 myimage，Docker 将在其配置的镜像仓库中查找，默认情况下会从 Docker Hub 开始。

要有效地“禁用”像 myimage 这样的仓库从特定镜像仓库（如 myregistry.example.com）拉取，最直接的方法是避免在 docker pull 或 docker run 命令中使用完全限定的名称 myregistry.example.com/myimage:latest。相反，你可以从不同的镜像仓库拉取该镜像，或者使用不同的镜像名称。

由于在本次实验环境中我们没有设置自定义镜像仓库，我们将通过尝试从一个不存在的假设镜像仓库拉取镜像来演示这一概念。这将向你展示当 Docker 无法访问指定镜像仓库中的仓库时的行为。

让我们尝试从假设的镜像仓库 nonexistentregistry.example.com 拉取一个名为 testimage 的镜像。

docker pull nonexistentregistry.example.com/testimage:latest

你会收到一条错误消息，表明 Docker 无法连接到该镜像仓库或找不到该镜像。这表明，通过指定一个无法访问或不包含该仓库的镜像仓库，你实际上就“禁用”了从该特定源拉取该仓库的操作。

在实际场景中，如果你配置了多个镜像仓库，你可以通过使用适当的完全限定镜像名称来控制 Docker 从哪个镜像仓库拉取。要“禁用”特定镜像仓库中的某个仓库，你需要确保你的工作流程和命令配置为从不同的镜像仓库拉取该镜像，或者根本不拉取。

高级配置，如配置 Docker 守护进程以排除某些镜像仓库或使用代理，也可用于实施允许使用哪些镜像仓库的策略。然而，基本原则仍然是：控制 docker pull 和 docker run 命令中使用的镜像名称，决定了 Docker 尝试使用哪个镜像仓库。

为了验证这一步，我们将检查你是否尝试通过指定一个假设的镜像仓库名称来拉取镜像。我们可以在命令历史记录中查看 docker pull nonexistentregistry.example.com/testimage:latest 命令。

总结

在本次实验中，我们探讨了在 Docker 中控制镜像源的概念，重点关注如何有效地“禁用”特定仓库，使其不被用于镜像拉取。我们了解到，虽然 Docker 没有传统意义上针对单个仓库的直接 disable 命令，但我们可以通过理解和控制在 docker pull 或 docker run 操作中指定镜像名称的方式来实现这一目标。默认情况下，Docker 从 Docker Hub 拉取镜像，而指定带有镜像仓库前缀的完整镜像名称会指示 Docker 从该特定位置拉取。因此，若要避免从特定镜像仓库中的某个仓库拉取镜像，只需避免使用包含该镜像仓库的完整镜像名称即可。

我们练习了从默认的 Docker Hub 拉取镜像，并讨论了指定不同镜像仓库会如何改变镜像源。核心要点是，管理 Docker 用于拉取镜像的仓库主要是通过明确指定带有镜像仓库前缀的镜像名称来实现的，而不是通过全局禁用命令。出于安全和操作方面的考虑，这使得你可以对镜像源进行细粒度的控制。