Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

12.2. sigstore 지원 구성에 관하여

ClusterImagePolicyImagePolicy 사용자 정의 리소스(CR) 객체를 사용하여 전체 클러스터 또는 특정 네임스페이스에 대한 sigstore 지원을 활성화하고 구성할 수 있습니다. 이러한 개체에는 sigstore 툴을 사용하여 검증할 이미지와 저장소를 지정하는 정책과 서명을 검증해야 하는 방법이 포함되어 있습니다.

  • 클러스터 이미지 정책. 클러스터 이미지 정책 개체를 사용하면 클러스터 관리자가 전체 클러스터에 대한 sigstore 서명 검증 정책을 구성할 수 있습니다. 이 기능을 활성화하면, MCO(Machine Config Operator)가 ClusterImagePolicy 객체를 감시하고 클러스터의 모든 노드에서 /etc/containers/policy.json/etc/containers/registries.d/sigstore-registries.yaml 파일을 업데이트합니다.

    중요

    기본 OpenShift 클러스터 이미지 정책은 필요한 OpenShift Container Platform 이미지에 대한 sigstore 지원을 제공합니다. 이 클러스터 이미지 정책 개체를 제거하거나 수정해서는 안 됩니다.

  • 이미지 정책. 이미지 정책을 사용하면 클러스터 관리자나 애플리케이션 개발자가 특정 네임스페이스에 대한 sigstore 서명 확인 정책을 구성할 수 있습니다. MCO는 다양한 네임스페이스에서 ImagePolicy 인스턴스를 감시하고 클러스터의 모든 노드에서 /etc/crio/policies/<namespace>.json/etc/containers/registries.d/sigstore-registries.yaml 파일을 생성하거나 업데이트합니다.

    이미지 정책의 이미지나 저장소가 클러스터 이미지 정책의 이미지나 저장소 중 하나 아래에 중첩되어 있는 경우, 클러스터 이미지 정책의 정책만 적용됩니다. 예를 들어, 이미지 정책이 example.com/global/image를 지정하고 클러스터 이미지 정책이 example.com/global을 지정하는 경우 네임스페이스는 클러스터 이미지 정책의 정책을 사용합니다. 이미지 정책 개체가 생성되고 다음 메시지와 유사한 오류가 표시됩니다.

    충돌하는 이미지 ID가 있는 예시 이미지 정책

    API Version:  config.openshift.io/v1alpha1
Kind:         ImagePolicy
Name:         p0
Namespace:    mynamespace
# ...
Status:
  Conditions:
    Message: has conflicting scope(s) ["example.com/global/image"] that equal to or nest inside existing clusterimagepolicy, only policy from clusterimagepolicy scope(s) will be applied
    Reason: ConflictScopes
# ...
    Copy to Clipboard Toggle word wrap

12.2.1. 클러스터 및 이미지 정책 매개변수에 관하여
링크 복사

다음 매개변수는 클러스터 및 이미지 정책에 적용됩니다. 이러한 매개변수 사용에 대한 자세한 내용은 "클러스터 이미지 정책 CR 만들기" 및 "이미지 정책 CR 만들기"를 참조하세요.

범위

정책에 할당된 저장소 및 이미지 목록을 정의합니다. 다음 범위 중 하나 이상을 나열해야 합니다.

  • example.com/namespace/image:latest 와 같은 태그나 다이제스트를 사용하여 개별 이미지
  • example.com 과 같이 태그나 다이제스트를 생략하여 저장소를 만듭니다.
  • example.com/namespace/ 와 같은 저장소 네임스페이스
  • 호스트 이름과 포트 번호만 지정하거나 *. 로 시작하는 와일드카드 표현식(예: *.example.com) 을 사용하여 레지스트리 호스트를 지정할 수 있습니다.

동일한 클러스터 또는 이미지 정책에서 여러 범위가 단일 범위와 일치하는 경우 가장 구체적인 범위에 대한 정책만 적용됩니다.

이미지 정책의 범위가 지정된 이미지나 저장소가 클러스터 이미지 정책의 범위가 지정된 이미지나 저장소 중 하나 아래에 중첩되어 있는 경우, 클러스터 이미지 정책의 정책만 적용됩니다. 하지만 이미지 정책 객체는 생성됩니다. 예를 들어, 이미지 정책이 example.com/global/image를 지정하고 클러스터 이미지 정책이 example.com/global을 지정하는 경우 네임스페이스는 클러스터 이미지 정책에서 정책을 상속합니다.

policy

범위 에 나열된 소스의 이미지를 검증할 수 있도록 하는 구성을 포함하고 있으며, 검증 정책과 일치하지 않는 이미지를 처리하는 방법을 정의합니다. rootOfTrust 와 선택적으로 signedIdentity를 구성해야 합니다.

  • rootOfTrust : 정책에 대한 신뢰 루트를 지정합니다. 공개 키 또는 Fulcio 인증서를 구성합니다.

    • publicKey : 정책이 sigstore 공개 키에 의존한다는 것을 나타냅니다. base64로 인코딩된 PEM 형식 공개 키를 지정해야 합니다. 선택적으로 Rekor 검증을 포함할 수 있습니다.

    • FulcioCAWithRekor : 정책이 Fulcio 인증서를 기반으로 한다는 것을 나타냅니다. 다음 매개변수를 지정해야 합니다.

      • base64로 인코딩된 PEM 형식 Fulcio CA
      • OpenID Connect(OIDC) 발급자
      • Fulcio 인증 구성의 이메일
      • Rekor 검증

  • signedIdentity : 서명의 이미지와 실제 이미지 자체를 검증하는 데 사용되는 접근 방식을 지정합니다. 서명된 ID를 구성하려면 다음 매개변수 중 하나를 일치 정책으로 지정해야 합니다.

    • MatchRepoDigestOrExact. 서명에 참조된 이미지는 이미지 자체와 동일한 저장소에 있어야 합니다. 이미지에 태그가 포함된 경우 서명에 참조된 이미지는 정확히 일치해야 합니다. 이는 기본값입니다.
    • 매치리포지토리 . 서명에 참조된 이미지는 이미지 자체와 동일한 저장소에 있어야 합니다. 이미지에 태그가 포함되어 있는 경우 서명에 참조된 이미지와 정확히 일치할 필요는 없습니다. 이미지가 정확한 이미지 버전을 지정하는 태그로 서명된 경우 최신 태그가 포함된 이미지를 가져오는 데 유용합니다.
    • ExactRepository . 서명에 참조된 이미지는 exactRepository 매개변수로 지정된 것과 동일한 저장소에 있어야 합니다. exactRepository 매개변수를 지정해야 합니다.

    • 리맵아이덴티티 . 범위가 지정된 저장소 또는 이미지가 지정된 접두사 와 일치하는 경우 해당 접두사는 지정된 signedPrefix 로 대체됩니다. 이미지 ID가 일치하지 않으면 접두사는 변경되지 않으며 리매핑이 이루어지지 않습니다. 이 옵션은 공급업체의 저장소 구조를 보존하는 다른 저장소 네임스페이스의 미러에 대한 서명을 확인할 때 사용할 수 있습니다.

      prefixsignedPrefix는 정확한 host[:port] 문자열, 저장소 네임스페이스 또는 저장소와 일치하는 host[:port] 값일 수 있습니다. prefixsignedPrefix에는 태그나 다이제스트가 포함되어서는 안 됩니다. 예를 들어, 단일 저장소를 지정하려면 busybox 가 아닌 example.com/library/busybox 를 사용합니다. example.com/library/busybox 의 부모 네임스페이스를 지정하려면 example.com/library를 사용할 수 있습니다.

      다음 매개변수를 지정해야 합니다.

      • 접두사 : 일치시킬 이미지 접두사를 지정합니다.
      • signedPrefix : 필요한 경우 다시 매핑할 이미지 접두사를 지정합니다.

12.2.2. 이미지 정책 수정 또는 제거에 관하여
링크 복사

다른 사용자 정의 리소스(CR) 개체와 동일한 명령을 사용하여 클러스터 이미지 정책이나 이미지 정책을 수정하거나 제거할 수 있습니다.

정책 YAML을 편집하고 파일에 oc apply 명령을 실행하거나 ClusterImagePolicy 또는 ImagePolicy 객체를 직접 편집하여 기존 정책을 수정할 수 있습니다. 두 방법 모두 동일한 방식으로 변경 사항을 적용합니다.

클러스터나 네임스페이스에 대해 여러 개의 정책을 만들 수 있습니다. 이를 통해 다양한 이미지나 저장소에 대해 서로 다른 정책을 만들 수 있습니다.

ClusterImagePolicyImagePolicy 객체를 삭제하여 정책을 제거할 수 있습니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat