Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

12.3. クラスターイメージポリシー CR の作成

クラスター管理者は、ClusterImagePolicy カスタムリソース (CR) を使用してクラスター全体の sigstore 署名検証ポリシーを設定できます。Machine Config Operator (MCO) を有効にすると、ClusterImagePolicy オブジェクトを監視し、クラスター内のすべてのノード上の /etc/containers/policy.json および /etc/containers/registries.d/sigstore-registries.yaml ファイルを更新します。

次の例は、ClusterImagePolicy オブジェクトの設定方法に関する一般的なガイドラインを示しています。パラメーターの詳細は、「クラスターおよびイメージポリシーのパラメーターについて」を参照してください。

前提条件

  • 署名操作に必要な、sigstore でサポートされている公開鍵基盤 (PKI) または Cosign 公開鍵と秘密鍵のペア がある。
  • イメージに署名するための署名プロセスがある。
  • Cosign 署名を使用している場合は、Cosign 署名をサポートするレジストリーにアクセスできる。

  • cluster という名前の FeatureGate CR を編集して、クラスターに必要なテクノロジープレビュー機能を有効にした。 

    $ oc edit featuregate cluster
    Copy to Clipboard Toggle word wrap

    FeatureGate CR の例

    apiVersion: config.openshift.io/v1
kind: FeatureGate
metadata:
  name: cluster
spec:
  featureSet: TechPreviewNoUpgrade
    1
    Copy to Clipboard Toggle word wrap

    1
    必要な SigstoreImageVerification 機能を有効にします。
    警告

    クラスターで TechPreviewNoUpgrade 機能セットを有効にすると、元に戻すことができず、マイナーバージョンの更新が妨げられます。この機能セットを使用すると、該当するテクノロジープレビュー機能をテストクラスターで有効にして、完全にテストすることができます。実稼働クラスターではこの機能セットを有効にしないでください。

    変更を保存すると、新規マシン設定が作成され、マシン設定プールが更新され、変更が適用されている間に各ノードのスケジューリングが無効になります。

手順

  1. 次の例のようなクラスターイメージポリシーオブジェクトを作成します。これらのパラメーターの詳細は、「イメージポリシーパラメーターについて」を参照してください。

    公開鍵ポリシーと MatchRepoDigestOrExact 一致ポリシーを含むクラスターイメージポリシーオブジェクトの例

    apiVersion: config.openshift.io/v1alpha1
kind: ClusterImagePolicy
    1 
    
metadata:
  name: p1
spec:
  scopes:
    2 
    
    - example.com
  policy:
    3 
    
    rootOfTrust:
    4 
    
      policyType: PublicKey
    5 
    
      publicKey:
        keyData: a2V5RGF0YQ==
    6 
    
        rekorKeyData: cmVrb3JLZXlEYXRh
    7 
    
    signedIdentity:
    8 
    
      matchPolicy: MatchRepoDigestOrExact
    Copy to Clipboard Toggle word wrap

    1
    ClusterImagePolicy オブジェクトを作成します。
    2
    このポリシーに割り当てられるリポジトリーまたはイメージのリストを定義します。クラスターイメージポリシーで、ポリシーが quay.io/openshift-release-dev/ocp-release および quay.io/openshift-release-dev/ocp-v4.0-art-dev リポジトリー内の OpenShift Container Platform イメージのデプロイメントをブロックしないことを確認します。これらのリポジトリー内のイメージは、クラスターの操作に必要です。
    3
    イメージの検証方法を定義するパラメーターを指定します。
    4
    ポリシーの Root of Trust を定義します。
    5
    Root of Trust を定義するポリシータイプ (公開鍵または Fulcio certifice) を指定します。ここでは、Rekor 検証を使用する公開鍵です。
    6
    公開鍵ポリシーの場合、base64 でエンコードされた公開鍵を PEM 形式で指定します。最大長は 8192 文字です。
    7
    オプション: base64 でエンコードされた Rekor 公開鍵を PEM 形式で指定します。最大長は 8192 文字です。
    8
    オプション: 署名と実際のイメージアイデンティティーのアイデンティティーを検証するためのプロセスとして、次のいずれかを指定します。
    • MatchRepoDigestOrExact
    • MatchRepository
    • ExactRepositoryexactRepository パラメーターを指定する必要があります。
    • RemapIdentityprefix および signedPrefix パラメーターを指定する必要があります。

    Fulcio 証明書ポリシーと remapIdentity 一致ポリシーを含むクラスターイメージポリシーオブジェクトの例

    apiVersion: config.openshift.io/v1alpha1
kind: ClusterImagePolicy
    1 
    
metadata:
  name: p1
spec:
  scopes:
    2 
    
    - example.com
  policy:
    3 
    
    rootOfTrust:
    4 
    
      policyType: FulcioCAWithRekor
    5 
    
      fulcioCAWithRekor:
    6 
    
        fulcioCAData: a2V5RGF0YQ==
        fulcioSubject:
          oidcIssuer: "https://expected.OIDC.issuer/"
          signedEmail: "expected-signing-user@example.com"
        rekorKeyData: cmVrb3JLZXlEYXRh
    7 
    
    signedIdentity:
      matchPolicy: RemapIdentity
    8 
    
      remapIdentity:
        prefix: example.com
    9 
    
        signedPrefix: mirror-example.com
    10
    Copy to Clipboard Toggle word wrap

    1
    ClusterImagePolicy オブジェクトを作成します。
    2
    このポリシーに割り当てられるリポジトリーまたはイメージのリストを定義します。クラスターイメージポリシーで、ポリシーが quay.io/openshift-release-dev/ocp-release および quay.io/openshift-release-dev/ocp-v4.0-art-dev リポジトリー内の OpenShift Container Platform イメージのデプロイメントをブロックしないことを確認します。これらのリポジトリー内のイメージは、クラスターの操作に必要です。
    3
    イメージの検証方法を定義するパラメーターを指定します。
    4
    ポリシーの Root of Trust を定義します。
    5
    Root of Trust を定義するポリシータイプ (公開鍵または Fulcio 証明書) を指定します。ここでは、必要な Rekor 検証を含む Fulcio 証明書を示します。
    6
    Fulcio 証明書ポリシーの場合、次のパラメーターが必要です。
    • fulcioCAData: base64 でエンコードされた Fulcio 証明書を PEM 形式で指定します。最大長は 8192 文字です。
    • fulcioSubject: OIDC 発行者と Fulcio 認証設定のメールを指定します。
    7
    base64 でエンコードされた Rekor 公開鍵を PEM 形式で指定します。このパラメーターは、policyTypeFulcioCAWithRekor の場合に必要です。最大長は 8192 文字です。
    8
    オプション: 署名と実際のイメージアイデンティティーのアイデンティティーを検証するためのプロセスとして、次のいずれかを指定します。
    • MatchRepoDigestOrExact
    • MatchRepository
    • ExactRepositoryexactRepository パラメーターを指定する必要があります。
    • RemapIdentityprefix および signedPrefix パラメーターを指定する必要があります。
    9
    remapIdentity 一致ポリシーの場合、スコープ指定されたイメージ接頭辞と一致する必要がある接頭辞を指定します。その 2 つが一致する場合、スコープ指定されたイメージ接頭辞は signedPrefix の値に置き換えられます。最大長は 512 文字です。
    10
    remapIdentity 一致ポリシーの場合、必要に応じて再度マッピングするイメージ接頭辞を指定します。最大長は 512 文字です。

  2. クラスターイメージポリシーオブジェクトを作成します。 

    $ oc create -f <file_name>.yaml
    Copy to Clipboard Toggle word wrap

    Machine Config Operator (MCO) は、クラスター内のマシン設定プール (MCP) を更新します。

検証

  • クラスター内のノードが更新されたら、クラスターイメージポリシーが設定されていることを確認できます。

    1. 次のコマンドを実行して、ノードのデバッグ Pod を起動します。 

      $ oc debug node/<node_name>
      Copy to Clipboard Toggle word wrap

    2. 次のコマンドを実行して、デバッグシェル内のルートディレクトリーとして /host を設定します。 

      sh-5.1# chroot /host/
      Copy to Clipboard Toggle word wrap

    3. 次のコマンドを実行して、policy.json ファイルを調べます。 

      sh-5.1# cat /etc/containers/policy.json
      Copy to Clipboard Toggle word wrap

      新しいクラスターイメージポリシーを示す公開鍵を含むクラスターイメージポリシーオブジェクトの出力例

      # ...
  "transports": {
# ...
    "docker": {
      "example.com": [
        {
          "type": "sigstoreSigned",
          "keyData": "a2V5RGF0YQ==",
          "rekorPublicKeyData": "cmVrb3JLZXlEYXRh",
          "signedIdentity": {
            "type": "matchRepoDigestOrExact"
          }
        }
      ],
# ...
      Copy to Clipboard Toggle word wrap

      新しいクラスターイメージポリシーを示す Fulcio 証明書を含むクラスターイメージポリシーオブジェクトの出力例

      # ...
  "transports": {
# ...
    "docker": {
      "example.com": [
        {
          "type": "sigstoreSigned",
          "fulcio": {
            "caData": "a2V5RGF0YQ==",
            "oidcIssuer": "https://expected.OIDC.issuer/",
            "subjectEmail": "expected-signing-user@example.com"
          },
          "rekorPublicKeyData": "cmVrb3JLZXlEYXRh",
          "signedIdentity": {
            "type": "remapIdentity",
            "prefix": "example.com",
            "signedPrefix": "mirror-example.com"
          }
        }
      ],
# ...
      Copy to Clipboard Toggle word wrap

    4. 次のコマンドを実行して、sigstore-registries.yaml ファイルを調べます。 

      sh-5.1# cat /etc/containers/registries.d/sigstore-registries.yaml
      Copy to Clipboard Toggle word wrap

      スコープ指定されたレジストリーが追加されたことを示す出力例

      docker:
  example.com:
    use-sigstore-attachments: true
      1 
      
  quay.io/openshift-release-dev/ocp-release:
    use-sigstore-attachments: true
      Copy to Clipboard Toggle word wrap

      1
      true の場合、sigstore 署名をイメージと併せて読み取ることを指定しています。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat