5.10. oc-mirror プラグイン v2 でのイメージ署名のミラーリングと検証

OpenShift Container Platform 4.19 以降、oc-mirror プラグイン v2 は、コンテナーイメージに対する cosign のタグベース署名のミラーリングおよび検証をサポートします。

デフォルトでは、署名のミラーリングは無効になっています。oc mirror コマンドに --remove-signatures=false フラグを設定することで、すべてのイメージに対して署名ミラーリングを有効にできます。

有効にすると、oc-mirror プラグイン v2 は次のイメージの Sigstore タグベースの署名をミラーリングします。

注記

設定ファイルを提供しない場合、oc-mirror プラグイン v2 は、--remove-signatures=false フラグが使用されている場合にデフォルトですべてのイメージの署名ミラーリングを有効にします。

カスタム設定ディレクトリーを指定するには、--registries.d フラグを使用します。

詳細は、containers-registries.d(5) のマニュアルを参照してください。

手順

次のコマンドを実行して、すべてのイメージに対して署名ミラーリングを有効にします。
```
$ oc mirror --remove-signatures=false
```
次の手順を実行して、トランスポートプロトコル、レジストリー、namespace、イメージなどの特定の要素の署名ミラーリングを有効または無効にします。
1. $HOME/.config/containers/registries.d/ または /etc/containers/registries.d/ ディレクトリーのいずれかに YAML ファイルを作成します。
2. 次の例に示すように、use-sigstore-attachments パラメーターを指定し、制御する特定の要素で true または false に設定します。
  例: quay.io レジストリーの署名ミラーリングを無効にする
  # ... docker: quay.io: use-sigstore-attachments: false # ...
  例: すべてのレジストリーの署名ミラーリングを有効にする
  # ... default-docker: use-sigstore-attachments: true # ...