12.2. 使用 Atomic CLI 签署镜像
OpenShift Container Platform 不自动执行镜像签名。签名需要开发人员的专用 GPG 密钥,通常存储在工作站上。本文档描述了该工作流。
atomic 命令行界面(CLI)版本 1.12.5 或更高版本提供用于签名容器镜像的命令,这些镜像可以推送到 OpenShift 容器 Registry。基于红帽的发布中提供了 atomic CLI:RHEL、Centos 和 Fedora.在 RHEL Atomic Host 系统中预先安装 atomic CLI。有关在 RHEL 主机上安装 atomic 软件包的详情,请参考启用镜像签名支持。
atomic CLI 使用来自 oc login 的身份验证凭据。务必在同一主机上对 atomic 和 oc 命令使用相同的用户。例如,如果您以 sudo 身份执行 atomic CLI,请确保使用 sudo oc login 登录 OpenShift Container Platform。
要将签名附加到镜像,用户必须具有 image-signer 集群角色。集群管理员可使用以下方法添加此项:
$ oc adm policy add-cluster-role-to-user system:image-signer <user_name>
镜像可以在推送时签名:
$ atomic push [--sign-by <gpg_key_id>] --type atomic <image>
当指定 atomic 传输类型参数时,签名存储在 OpenShift Container Platform 中。如需更多信息,请参阅 签名传输。
有关如何使用 atomic CLI 设置和执行镜像签名的详情,请查看 RHEL Atomic 主机管理容器:签署容器镜像 文档或 atomic push --help 输出以获取参数详细信息。
容器镜像签名集成指南中介绍了使用 atomic CLI 和 OpenShift 容器注册表的具体示例工作流。
