3.6. 署名済みコンテナーの操作

手順

1. ターミナルから署名スクリプトを作成し、スクリプトパスをインストーラーパラメーターとして渡します。

   例:

   #!/usr/bin/env bash
   
   # pulp_container SigningService will pass the next 4 variables to the script.
   MANIFEST_PATH=$1
   FINGERPRINT="$PULP_SIGNING_KEY_FINGERPRINT"
   IMAGE_REFERENCE="$REFERENCE"
   SIGNATURE_PATH="$SIG_PATH"
   
   # Create container signature using skopeo
   skopeo standalone-sign \
     $MANIFEST_PATH \
     $IMAGE_REFERENCE \
     $FINGERPRINT \
     --output $SIGNATURE_PATH
   
   # Optionally pass the passphrase to the key if password protected.
   # --passphrase-file /path/to/key_password.txt
   
   # Check the exit status
   STATUS=$?
   if [ $STATUS -eq 0 ]; then
     echo {\"signature_path\": \"$SIGNATURE_PATH\"}
   else
     exit $STATUS
   fi

2. Ansible Automation Platform インストーラーインベントリーファイルで、automationhub_* で始まるコンテナー署名のオプションを確認します。

   [all:vars]
   .
   .
   .
   
   automationhub_create_default_container_signing_service = True
   automationhub_container_signing_service_key = /absolute/path/to/key/to/sign
   automationhub_container_signing_service_script = /absolute/path/to/script/that/signs

3. インストールが完了したら、Ansible Automation Platform にログインし、Automation Content Signature Keys に移動します。

   注記

   container-default サービスは、Ansible Automation Platform インストーラーによって作成されます。

手順

1. Ansible Automation Platform にログインします。
2. ナビゲーションパネルから、Automation Content Remote Registries を選択します。

3. Create remote registry をクリックします。

   • Name フィールドに、コンテナーが存在するレジストリーの名前を入力します。
   • URL フィールドに、コンテナーが存在するレジストリーの URL を入力します。
   • Username フィールドに、必要に応じてユーザー名を入力します。
   • Password フィールドに、必要に応じてパスワードを入力します。
   • Create remote registry をクリックします。

手順

1. ナビゲーションパネルから、Automation Content Execution Environments を選択します。

2. Create execution environment をクリックし、表示されるフィールドに関連情報を入力します。

   1. Name フィールドには、ローカルレジストリー上の実行環境の名前が表示されます。
   2. Upstream name フィールドは、リモートサーバー上のイメージの名前です。
   3. Registry で、ドロップダウンメニューからレジストリーの名前を選択します。
   4. オプション: Add tag(s) to include フィールドにタグを入力します。フィールドが空白の場合、すべてのタグが渡されます。どのリポジトリー固有のタグを渡すかを指定する必要があります。
   5. オプション: Add tag(s) to exclude フィールドに除外するタグを入力します。
3. Create execution environment をクリックします。表示されるリストに新しい実行環境が表示されます。

4. 新しい自動化実行環境を同期して署名します。

   1. More Actions アイコン ⋮ をクリックし、Sync execution environment を選択します。
   2. More Actions アイコン ⋮ をクリックし、Sign execution environment を選択します。
5. 新しい実行環境をクリックします。Details ページで Signed ラベルを見つけて、実行環境が署名されていることを確認します。

手順

1. ターミナルから、Podman または現在使用しているコンテナークライアントにログインします。

   > podman pull <container-name>

2. 実行環境を取得したら、タグ (例: latest、rc、beta、またはバージョン番号 (1.0、2.3 など)) を追加します。

   > podman tag <container-name> <server-address>/<container-name>:<tag name>

3. 変更を加えた後、実行環境に署名し、Automation Hub レジストリーにプッシュし直します。

   > podman push <server-address>/<container-name>:<tag name> --tls-verify=false --sign-by <reference to the gpg key on your local>

   実行環境が署名されていない場合は、現在の署名が埋め込まれている場合にのみプッシュできます。または、次のスクリプトを使用して、署名せずに実行環境をプッシュすることもできます。

   > podman push <server-address>/<container-name>:<tag name> --tls-verify=false

4. 実行環境がプッシュされたら、Automation Content Execution Environments に移動します。
5. 新しい実行環境を表示するには、Refresh アイコンをクリックします。
6. イメージの名前をクリックすると、プッシュされたイメージが表示されます。

1. 実行環境名をクリックすると、詳細ページに移動します。

2. More Actions アイコン ⋮ をクリックします。次の 3 つのオプションが利用可能です。

   • Sign execution environment
   • Use in Controller
   • Delete execution environment
3. ドロップダウンメニューから Sign execution environment をクリックします。

手順

1. ナビゲーションパネルから、Automation Content Signature Keys を選択します。
2. 使用している署名の横にある Download key アイコンをクリックします。新しいウィンドウが開き、鍵がダウンロードされたことが示されます。

手順

1. ターミナルを開き、次のコマンドを使用します。

   >  sudo <name of editor> /etc/containers/policy.json

   表示されるファイルは次のようなものです。

   {
     "default": [{"type": "reject"}],
     "transports": {
     	"docker": {
       	"quay.io": [{"type": "insecureAcceptAnything"}],
       	"docker.io": [{"type": "insecureAcceptAnything"}],
       	"<server-address>": [
         	{
             	    "type": "signedBy",
             	    "keyType": "GPGKeys",
             	    "keyPath": "/tmp/containersig.txt"
         	}]
     	}
     }
   }

   このファイルは、quay.io も docker.io も検証を実行しないことを示しています。タイプが insecureAcceptAnything であり、これによってデフォルトのタイプの reject がオーバーライドされるためです。ただし、パラメーターの type が "signedBy" に設定されているため、<server-address> によって検証が実行されます。

   注記

   現在サポートされている唯一の keyType は GPG キーです。

2. <server-address> エントリーの下で、keyPath <1> を変更してキーファイルの名前を含めます。

   {
       	"default": [{"type": "reject"}],
       	"transports": {
           	"docker": {
             	  "quay.io": [{"type": "insecureAcceptAnything"}],
             	  "docker.io": [{"type": "insecureAcceptAnything"}],
             	  "<server-address>": [{
                   	"type": "signedBy",
                   	"keyType": "GPGKeys",
                   	"keyPath": "/tmp/<key file name>",
                   	"signedIdentity": {
                     	  "type": "matchExact"
                       }
               	  }]
               }
       	}
   }

3. ファイルを保存してから閉じます。

手順

1. Ansible Automation Platform にログインします。
2. ナビゲーションパネルから、Automation Content Execution Environments を選択します。
3. 削除するコンテナーリポジトリーの More Actions アイコン ⋮ をクリックし、Delete execution environment クリックします。
4. 確認メッセージが表示されたら、チェックボックスをクリックし、Delete execution environment をクリックします。