红帽全球峰会5.10. 在 oc-mirror 插件 v2 中镜像和验证镜像签名
从 OpenShift Container Platform 4.19 开始,oc-mirror 插件 v2 支持镜像和验证容器镜像的基于 cosign 标签的签名。
5.10.1. 为 oc-mirror 插件 v2 启用签名镜像
默认情况下禁用签名镜像。您可以通过为 oc mirror 命令设置 --remove-signatures=false 标志来为所有镜像启用签名镜像。
启用后,oc-mirror 插件 v2 为以下镜像镜像基于 Sigstore 标签的签名:
- OpenShift Container Platform 发行镜像
- Operator 镜像
- 其他镜像
- Helm chart
如果没有提供配置文件,oc-mirror 插件 v2 会在使用 --remove-signatures=false 标志时默认启用所有镜像的签名镜像。
要指定自定义配置目录,请使用 --registries.d 标志。
如需了解更多详细信息,请参阅 containers-registries.d (5) manual。
流程
如果要为所有镜像启用签名镜像,请运行以下命令:
$ oc mirror --remove-signatures=false如果要为特定元素(如传输协议、registry、命名空间或镜像)启用或禁用签名镜像,请使用以下步骤:
-
在
$HOME/.config/containers/registries.d/或/etc/containers/registries.d/目录中创建 YAML 文件。 指定
use-sigstore-attachments参数,并在您要控制的特定元素下将其设置为true或false,如下例所示:示例:禁用
quay.ioregistry 的签名镜像# ... docker: quay.io: use-sigstore-attachments: false # ...示例:为所有 registry 启用签名镜像
# ... default-docker: use-sigstore-attachments: true # ...
-
在
5.10.2. 为 oc-mirror 插件 v2 启用签名验证
从 OpenShift Container Platform 4.19 开始,oc-mirror 插件 v2 支持签名验证,这默认禁用。启用后,插件会验证容器镜像是否与其签名匹配,确保它们没有被更改,并来自可信源。如果检测到签名不匹配,镜像工作流将失败。
流程
如果要为所有镜像启用签名验证,请运行以下命令:
$ oc mirror --secure-policy=true如果要为特定元素(如传输协议、registry、命名空间或镜像)启用或禁用签名验证,请按照以下步骤操作:
在
$HOME/.config/containers/或/etc/containers/ 目录中创建policy.json文件。注意如果您的策略配置文件位于默认目录之外,您可以在
oc mirror命令中使用--policy标志来指定其路径。如需更多信息,请参阅
containers-policy.json (5)。使用适当的策略配置,为所需的范围(如 registry 或镜像)定义验证规则。您可以通过在每个元素中指定所需规则来设置验证要求。
示例:仅为特定镜像启用验证,并拒绝所有其他镜像
{ "default": [{"type": "reject"}], "transports": { "docker": { "hostname:5000/myns/sigstore-signed-image": [ { "type": "sigstoreSigned", "keyPath": "/path/to/sigstore-pubkey.pub", "signedIdentity": {"type": "matchRepository"} } ] } } }
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}