12.2. sigstore 지원 구성에 관하여
ClusterImagePolicy
및 ImagePolicy
사용자 정의 리소스(CR) 객체를 사용하여 전체 클러스터 또는 특정 네임스페이스에 대한 sigstore 지원을 활성화하고 구성할 수 있습니다. 이러한 개체에는 sigstore 툴을 사용하여 검증할 이미지와 저장소를 지정하는 정책과 서명을 검증해야 하는 방법이 포함되어 있습니다.
클러스터 이미지 정책. 클러스터 이미지 정책 개체를 사용하면 클러스터 관리자가 전체 클러스터에 대한 sigstore 서명 검증 정책을 구성할 수 있습니다. 이 기능을 활성화하면, MCO(Machine Config Operator)가
ClusterImagePolicy
객체를 감시하고 클러스터의 모든 노드에서/etc/containers/policy.json
및/etc/containers/registries.d/sigstore-registries.yaml
파일을 업데이트합니다.중요기본
OpenShift
클러스터 이미지 정책은 필요한 OpenShift Container Platform 이미지에 대한 sigstore 지원을 제공합니다. 이 클러스터 이미지 정책 개체를 제거하거나 수정해서는 안 됩니다.이미지 정책. 이미지 정책을 사용하면 클러스터 관리자나 애플리케이션 개발자가 특정 네임스페이스에 대한 sigstore 서명 확인 정책을 구성할 수 있습니다. MCO는 다양한 네임스페이스에서
ImagePolicy
인스턴스를 감시하고 클러스터의 모든 노드에서/etc/crio/policies/<namespace>.json
및/etc/containers/registries.d/sigstore-registries.yaml
파일을 생성하거나 업데이트합니다.이미지 정책의 이미지나 저장소가 클러스터 이미지 정책의 이미지나 저장소 중 하나 아래에 중첩되어 있는 경우, 클러스터 이미지 정책의 정책만 적용됩니다. 예를 들어, 이미지 정책이
example.com/global/image를
지정하고 클러스터 이미지 정책이example.com/global을
지정하는 경우 네임스페이스는 클러스터 이미지 정책의 정책을 사용합니다. 이미지 정책 개체가 생성되고 다음 메시지와 유사한 오류가 표시됩니다.충돌하는 이미지 ID가 있는 예시 이미지 정책
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
12.2.1. 클러스터 및 이미지 정책 매개변수에 관하여 링크 복사링크가 클립보드에 복사되었습니다!
다음 매개변수는 클러스터 및 이미지 정책에 적용됩니다. 이러한 매개변수 사용에 대한 자세한 내용은 "클러스터 이미지 정책 CR 만들기" 및 "이미지 정책 CR 만들기"를 참조하세요.
범위
정책에 할당된 저장소 및 이미지 목록을 정의합니다. 다음 범위 중 하나 이상을 나열해야 합니다.
-
example.com/namespace/image:latest
와 같은 태그나 다이제스트를 사용하여 개별 이미지 -
example.com
과 같이 태그나 다이제스트를 생략하여 저장소를 만듭니다. -
example.com/namespace/
와 같은 저장소 네임스페이스 -
호스트 이름과 포트 번호만 지정하거나
*.
로 시작하는 와일드카드 표현식(예:*.example.com)
을 사용하여 레지스트리 호스트를 지정할 수 있습니다.
동일한 클러스터 또는 이미지 정책에서 여러 범위가 단일 범위와 일치하는 경우 가장 구체적인 범위에 대한 정책만 적용됩니다.
이미지 정책의 범위가 지정된 이미지나 저장소가 클러스터 이미지 정책의 범위가 지정된 이미지나 저장소 중 하나 아래에 중첩되어 있는 경우, 클러스터 이미지 정책의 정책만 적용됩니다. 하지만 이미지 정책 객체는 생성됩니다. 예를 들어, 이미지 정책이
example.com/global/image를
지정하고 클러스터 이미지 정책이example.com/global을
지정하는 경우 네임스페이스는 클러스터 이미지 정책에서 정책을 상속합니다.-
policy
범위
에 나열된 소스의 이미지를 검증할 수 있도록 하는 구성을 포함하고 있으며, 검증 정책과 일치하지 않는 이미지를 처리하는 방법을 정의합니다.rootOfTrust
와 선택적으로signedIdentity를
구성해야 합니다.rootOfTrust
: 정책에 대한 신뢰 루트를 지정합니다. 공개 키 또는 Fulcio 인증서를 구성합니다.signedIdentity
: 서명의 이미지와 실제 이미지 자체를 검증하는 데 사용되는 접근 방식을 지정합니다. 서명된 ID를 구성하려면 다음 매개변수 중 하나를 일치 정책으로 지정해야 합니다.-
MatchRepoDigestOrExact
. 서명에 참조된 이미지는 이미지 자체와 동일한 저장소에 있어야 합니다. 이미지에 태그가 포함된 경우 서명에 참조된 이미지는 정확히 일치해야 합니다. 이는 기본값입니다. -
매치리포지토리
. 서명에 참조된 이미지는 이미지 자체와 동일한 저장소에 있어야 합니다. 이미지에 태그가 포함되어 있는 경우 서명에 참조된 이미지와 정확히 일치할 필요는 없습니다. 이미지가 정확한 이미지 버전을 지정하는 태그로 서명된 경우최신
태그가 포함된 이미지를 가져오는 데 유용합니다. -
ExactRepository
. 서명에 참조된 이미지는exactRepository
매개변수로 지정된 것과 동일한 저장소에 있어야 합니다.exactRepository
매개변수를 지정해야 합니다. 리맵아이덴티티
. 범위가 지정된 저장소 또는 이미지가 지정된접두사
와 일치하는 경우 해당 접두사는 지정된signedPrefix
로 대체됩니다. 이미지 ID가 일치하지 않으면접두사는
변경되지 않으며 리매핑이 이루어지지 않습니다. 이 옵션은 공급업체의 저장소 구조를 보존하는 다른 저장소 네임스페이스의 미러에 대한 서명을 확인할 때 사용할 수 있습니다.prefix
와signedPrefix는
정확한host[:port]
문자열, 저장소 네임스페이스 또는 저장소와 일치하는host[:port]
값일 수 있습니다.prefix
와signedPrefix에는
태그나 다이제스트가 포함되어서는 안 됩니다. 예를 들어, 단일 저장소를 지정하려면busybox
가 아닌example.com/library/busybox
를 사용합니다.example.com/library/busybox
의 부모 네임스페이스를 지정하려면example.com/library를
사용할 수 있습니다.다음 매개변수를 지정해야 합니다.
-
접두사
: 일치시킬 이미지 접두사를 지정합니다. -
signedPrefix
: 필요한 경우 다시 매핑할 이미지 접두사를 지정합니다.
-
-
12.2.2. 이미지 정책 수정 또는 제거에 관하여 링크 복사링크가 클립보드에 복사되었습니다!
다른 사용자 정의 리소스(CR) 개체와 동일한 명령을 사용하여 클러스터 이미지 정책이나 이미지 정책을 수정하거나 제거할 수 있습니다.
정책 YAML을 편집하고 파일에 oc apply
명령을 실행하거나 ClusterImagePolicy
또는 ImagePolicy
객체를 직접 편집하여 기존 정책을 수정할 수 있습니다. 두 방법 모두 동일한 방식으로 변경 사항을 적용합니다.
클러스터나 네임스페이스에 대해 여러 개의 정책을 만들 수 있습니다. 이를 통해 다양한 이미지나 저장소에 대해 서로 다른 정책을 만들 수 있습니다.
ClusterImagePolicy
및 ImagePolicy
객체를 삭제하여 정책을 제거할 수 있습니다.