5.8. エンクレーブサポートの利点

エンクレーブサポートは、ネットワークの特定部分への内部アクセスを制限します。ファイアウォール境界を通過する受信トラフィックおよび送信トラフィックのアクセスを許可する非武装地帯 (DMZ) ネットワークとは異なり、エンクレーブはファイアウォール境界を越えません。

新しいエンクレーブサポート機能は、少なくとも 1 つの中間非接続ネットワークの背後で保護された複数のエンクレーブのミラーリングが必要な場合に使用します。

エンクレーブサポートには次の利点があります。

複数のエンクレーブのコンテンツをミラーリングし、単一の内部レジストリーに集約できます。ミラーリングされたコンテンツに対してセキュリティーチェックを実行する必要がある場合もありますが、そのようなチェックもこのセットアップですべて一度に実行できます。その後、コンテンツはダウンストリームのエンクレーブにミラーリングされる前に検査されます。
各エンクレーブに対してインターネットからミラーリングプロセスを再開することなく、集約された内部レジストリーからエンクレーブにコンテンツを直接ミラーリングできます。
ネットワークステージ間のデータ転送を最小限に抑え、ステージ間で Blob またはイメージが 1 回だけ転送されるようにできます。

上の画像は、インターネット接続のある環境とない環境を含むさまざまな環境で oc-mirror プラグインを使用するフローの概要を示しています。

インターネット接続環境:

非接続の企業環境 (インターネットなし):

フロー 1:
- ユーザーが oc-mirror プラグイン v2 を実行して、オンライン環境から転送されたディスクディレクトリーのミラーリングされたコンテンツを enterprise-registry.in レジストリーにロードします。
フロー 2:
1. registries.conf ファイルを更新した後、ユーザーは oc-mirror プラグイン v2 を実行して、enterprise-registry.in レジストリーのコンテンツをエンクレーブ環境にミラーリングします。
2. コンテンツを、エンクレーブへの転送用のディスクディレクトリーに保存します。

エンクレーブ環境 (インターネットなし):

ユーザーが oc-mirror プラグイン v2 を実行して、ディスクディレクトリーのコンテンツを enclave-registry.in レジストリーにロードします。

この画像は、これらの環境全体のデータフローを視覚的に表しており、インターネット接続のない非接続環境やエンクレーブ環境に対応するために oc-mirror を使用することを強調しています。