针对生产环境的安全要求，我推荐使用Docker守护进程的允许镜像仓库白名单配置，这是最直接且严谨的方式，能完全禁止从Docker Hub或其他未授权仓库拉取镜像。

1. 编辑Docker守护进程配置文件 #

Docker的守护进程配置默认存放在/etc/docker/daemon.json，如果文件不存在，直接创建即可：

sudo touch /etc/docker/daemon.json
sudo nano /etc/docker/daemon.json

2. 添加允许的镜像仓库配置 #

在文件中加入allowed-registries字段，值为你的内部容器流水线镜像仓库地址（支持多个地址，用数组形式）。如果内部仓库是非HTTPS的，还需要添加insecure-registries字段来允许非安全访问：

{
  "allowed-registries": ["your-internal-registry.example.com:5000"],
  "insecure-registries": ["your-internal-registry.example.com:5000"]
}

注意：allowed-registries会严格限制Docker仅能从指定仓库拉取、推送镜像，任何未在列表中的仓库（包括Docker Hub默认的docker.io）都会被直接拒绝。

3. 重启Docker服务使配置生效 #

保存配置文件后，重启Docker守护进程让新配置生效：

sudo systemctl daemon-reload
sudo systemctl restart docker

4. 验证配置效果 #

尝试拉取一个Docker Hub的公开镜像（比如nginx），应该会收到明确的拒绝错误：

docker pull nginx

预期错误信息类似：

Error response from daemon: registry docker.io is not allowed

这说明配置已经生效，Docker无法再从Docker Hub拉取镜像。

其他可选方案（不推荐用于严格禁止场景） #

如果你只是想优先使用内部仓库而非完全禁止Docker Hub，可以配置registry-mirrors将内部仓库设为默认镜像源，但这种方式无法完全阻止用户手动指定Docker Hub地址拉取镜像：

{
  "registry-mirrors": ["your-internal-registry.example.com:5000"]
}

但出于生产环境的严格安全要求，强烈推荐使用allowed-registries白名单方案，从根本上阻断未授权的镜像拉取行为。

内容的提问来源于stack exchange，提问作者Aaron