12.2. 使用 Atomic CLI 签署镜像

OpenShift Container Platform 不自动执行镜像签名。签名需要开发人员的专用 GPG 密钥，通常存储在工作站上。本文档描述了该工作流。

atomic 命令行界面(CLI)版本 1.12.5 或更高版本提供用于签名容器镜像的命令，这些镜像可以推送到 OpenShift 容器 Registry。基于红帽的发布中提供了 atomic CLI：RHEL、Centos 和 Fedora.在 RHEL Atomic Host 系统中预先安装 atomic CLI。有关在 RHEL 主机上安装 atomic 软件包的详情，请参考启用镜像签名支持。

要将签名附加到镜像，用户必须具有 image-signer 集群角色。集群管理员可使用以下方法添加此项：

oc adm policy add-cluster-role-to-user system:image-signer <user_name>

$ oc adm policy add-cluster-role-to-user system:image-signer <user_name>

镜像可以在推送时签名：

atomic push [--sign-by <gpg_key_id>] --type atomic <image>

$ atomic push [--sign-by <gpg_key_id>] --type atomic <image>

当指定 atomic 传输类型参数时，签名存储在 OpenShift Container Platform 中。如需更多信息，请参阅 签名传输。

有关如何使用 atomic CLI 设置和执行镜像签名的详情，请查看 RHEL Atomic 主机管理容器：签署容器镜像 文档或 atomic push --help 输出以获取参数详细信息。

容器镜像签名集成指南中介绍了使用 atomic CLI 和 OpenShift 容器注册表的具体示例工作流。