Nous développons et construisons des images de docker dans notre intranet et devons les déployer sur plusieurs hôtes qui nous appartiennent (développeurs, tests internes, tests externes, etc.). Certains d'entre eux sont sur notre intranet, d'autres sont accessibles pour des tiers sur Internet.
Le déploiement final se fait à l'intérieur de l'intranet du client sur plusieurs nœuds (production, différentes étapes de test). Ceux-ci sont derrière des pare-feu qui ne leur permettent pas régulièrement d'accéder à des choses en dehors de leur intranet, c'est-à-dire que certains d'entre eux peuvent être autorisés à accéder à un registre externe pour le déploiement, d'autres ne le peuvent pas et les images doivent être livrées manuellement via un téléchargement de logiciel obscur outil.
Je cherche un moyen d'avoir un registre sur Internet (éventuellement géré par nous-mêmes sur une machine virtuelle, de préférence pas) qui permet de stocker les images cryptées (de préférence GPG ou similaire, pas un simple mot de passe). Mais alors être capable de livrer plutôt simplement "la moitié" de la substance via un mécanisme de téléchargement manuellement. Le client est très paranoïaque, il est donc très important de maintenir le chiffrement de bout en bout.
Y a-t-il un outil qui me vient à l'esprit, qui est parfaitement capable de le gérer? Une solution consisterait à mettre en miroir le registre complet dans les locaux du client sur un hôte dédié, en conservant la partie de chiffrement intacte.
Une solution "standard" serait formidable, je serais réticent à pirater quelque chose ensemble s'il y a déjà quelque chose de maigre / léger / établi / stable.
EDIT (+ modifier le titre): Un schéma d'autorisation étendu comme celui proposé par Portus est un bon début, mais je recherche idéalement un cryptage de bout en bout des images réelles. Le client est ultra paranoïaque et ne fait que commencer avec Docker, les services basés sur le cloud, etc.
I am looking for a way to have a registry [...] which allows the images to be stored encrypted (preferably GPG or similar, not a simple password).