3.6. 署名済みコンテナーの操作

手順

1. ターミナルから署名スクリプトを作成し、スクリプトパスをインストーラーパラメーターとして渡します。

   例:

   #!/usr/bin/env bash
   
   # pulp_container SigningService will pass the next 4 variables to the script.
   MANIFEST_PATH=$1
   FINGERPRINT="$PULP_SIGNING_KEY_FINGERPRINT"
   IMAGE_REFERENCE="$REFERENCE"
   SIGNATURE_PATH="$SIG_PATH"
   
   # Create container signature using skopeo
   skopeo standalone-sign \
     $MANIFEST_PATH \
     $IMAGE_REFERENCE \
     $FINGERPRINT \
     --output $SIGNATURE_PATH
   
   # Optionally pass the passphrase to the key if password protected.
   # --passphrase-file /path/to/key_password.txt
   
   # Check the exit status
   STATUS=$?
   if [ $STATUS -eq 0 ]; then
     echo {\"signature_path\": \"$SIGNATURE_PATH\"}
   else
     exit $STATUS
   fi

   Copy to Clipboard Toggle word wrap

2. Ansible Automation Platform インストーラーインベントリーファイルで、automationhub_* で始まるコンテナー署名のオプションを確認してください。

   [all:vars]
   .
   .
   .
   
   automationhub_create_default_container_signing_service = True
   automationhub_container_signing_service_key = /absolute/path/to/key/to/sign
   automationhub_container_signing_service_script = /absolute/path/to/script/that/signs

   Copy to Clipboard Toggle word wrap
3. インストールが完了したら、Automation Hub に移動します。
4. ナビゲーションパネルから、Signature Keys を選択します。
5. container-default または container-anyname というタイトルのキーがあることを確認します。

手順

1. Automation Hub にログインします。
2. ナビゲーションパネルから、Execution Environments Remote Registries を選択します。

3. Add remote registry をクリックします。

   • Name フィールドに、コンテナーが存在するレジストリーの名前を入力します。
   • URL フィールドに、コンテナーが存在するレジストリーの URL を入力します。
   • Username フィールドに、必要に応じてユーザー名を入力します。
   • Password フィールドに、必要に応じてパスワードを入力します。
   • Save をクリックします。

手順

1. ナビゲーションパネルから、Execution Environments Execution Environments を選択します。
2. Add execution environment をクリックします。
3. 実行環境の名前を入力します。
4. オプション: アップストリーム名を入力します。
5. Registry で、ドロップダウンメニューからレジストリーの名前を選択します。
6. Add tag(s) to include フィールドにタグを入力します。フィールドが空白の場合、すべてのタグが渡されます。どのリポジトリー固有のタグを渡すかを指定する必要があります。

7. 残りのフィールドはオプションです。

   • Currently included tags
   • Add tag(s) to exclude
   • Currently excluded tag(s)
   • Description
8. Save をクリックします。
9. イメージを同期します。

手順

1. ターミナルから、Podman または現在使用しているコンテナークライアントにログインします。

   > podman pull <container-name>

   Copy to Clipboard Toggle word wrap

2. イメージをプルした後、タグを追加します (例: latest、rc、beta、または 1.0、2.3 などのバージョン番号)。

   > podman tag <container-name> <server-address>/<container-name>:<tag name>

   Copy to Clipboard Toggle word wrap

3. 変更を加えた後にイメージに署名し、Automation Hub レジストリーにプッシュし直します。

   > podman push <server-address>/<container-name>:<tag name> --tls-verify=false --sign-by <reference to the gpg key on your local>

   Copy to Clipboard Toggle word wrap

   イメージが署名されていない場合は、現在の署名が埋め込まれている場合にのみプッシュできます。あるいは、次のスクリプトを使用して、署名せずにイメージをプッシュすることもできます。

   > podman push <server-address>/<container-name>:<tag name> --tls-verify=false

   Copy to Clipboard Toggle word wrap
4. イメージがプッシュされたら、Automation Hub に移動します。
5. ナビゲーションパネルから、Execution Environments Execution Environments を選択します。
6. 新しい実行環境を表示するには、Refresh アイコンをクリックします。
7. イメージの名前をクリックすると、プッシュされたイメージが表示されます。

1. イメージ名をクリックすると詳細ページに移動します。

2. More Actions アイコン ⋮ をクリックします。次の 3 つのオプションが利用可能です。

   • Use in Controller
   • Delete
   • Sign
3. ドロップダウンメニューから Sign をクリックします。

手順

1. ナビゲーションパネルから、Signature Keys を選択します。
2. 使用している署名の横にある More Actions アイコン ⋮ をクリックします。
3. ドロップダウンメニューから Download key を選択します。新しいウィンドウが開きます。
4. Name フィールドに、キーの名前を入力します。
5. Save をクリックします。

手順

1. ターミナルを開き、次のコマンドを使用します。

   >  sudo <name of editor> /etc/containers/policy.json

   Copy to Clipboard Toggle word wrap

   表示されるファイルは次のようなものです。

   {
     "default": [{"type": "reject"}],
     "transports": {
     	"docker": {
       	"quay.io": [{"type": "insecureAcceptAnything"}],
       	"docker.io": [{"type": "insecureAcceptAnything"}],
       	"<server-address>": [
         	{
             	    "type": "signedBy",
             	    "keyType": "GPGKeys",
             	    "keyPath": "/tmp/containersig.txt"
         	}]
     	}
     }
   }

   Copy to Clipboard Toggle word wrap

   このファイルは、quay.io も docker.io も検証を実行しないことを示しています。タイプが insecureAcceptAnything であり、これによってデフォルトのタイプの reject がオーバーライドされるためです。ただし、パラメーターの type が "signedBy" に設定されているため、<server-address> によって検証が実行されます。

   注記

   現在サポートされている唯一の keyType は GPG キーです。

2. <server-address> エントリーの下で、keyPath <1> を変更してキーファイルの名前を含めます。

   {
       	"default": [{"type": "reject"}],
       	"transports": {
           	"docker": {
             	  "quay.io": [{"type": "insecureAcceptAnything"}],
             	  "docker.io": [{"type": "insecureAcceptAnything"}],
             	  "<server-address>": [{
                   	"type": "signedBy",
                   	"keyType": "GPGKeys",
                   	"keyPath": "/tmp/<key file name>",
                   	"signedIdentity": {
                     	  "type": "matchExact"
                       }
               	  }]
               }
       	}
   }

   Copy to Clipboard Toggle word wrap
3. ファイルを保存してから閉じます。