Artifact Registry跨云来源治理（GCR-ECR-ACR-白名单）最佳实践

---

title: Artifact Registry跨云来源治理（GCR-ECR-ACR-白名单）最佳实践

keywords:

• Artifact Registry
• GCR
• ECR
• ACR
• 白名单

description: 对跨云镜像与制品仓库进行来源白名单治理，校验域与命名空间，阻断不受控来源的拉取与部署。

categories:

• 文章资讯
• 编程技术

---

实现示例

type Ref = { host: string; namespace: string; name: string; tag: string }

const allowHosts = new Set<string>(['gcr.io','us-docker.pkg.dev','*.ecr.amazonaws.com','azurecr.io'])

function hostAllowed(h: string): boolean { if (allowHosts.has(h)) return true; if (/\.ecr\.amazonaws\.com$/.test(h)) return true; return false }

function validRef(r: Ref): boolean { return hostAllowed(r.host) && !!r.namespace && !!r.name && !!r.tag }

审计与运行治理

• 审计来源主机与命名空间；异常阻断并输出修复建议。
• 白名单变更需审批与归档。