红帽全球峰会12.2. 关于配置 sigstore 支持
您可以使用 ClusterImagePolicy 和 ImagePolicy 自定义资源(CR)对象为整个集群或特定命名空间启用和配置 sigstore 支持。这些对象包含一个策略,它使用 sigstore 工具指定要验证的镜像和存储库,以及如何验证签名。
集群镜像策略。集群镜像策略对象使集群管理员能够为整个集群配置 sigstore 签名验证策略。启用后,Machine Config Operator (MCO)会监控
ClusterImagePolicy对象,并更新集群中所有节点上的/etc/containers/policy.json和/etc/containers/registries.d/sigstore-registries.yaml文件。重要默认
openshift集群镜像策略为所需的 OpenShift Container Platform 镜像提供 sigstore 支持。您不能删除或修改此集群镜像策略对象。此集群镜像策略是技术预览,且仅在启用了技术预览功能的集群中处于活跃状态。以openshift开头的集群镜像策略名称保留给未来系统使用。如果为 OpenShift Container Platform 发行版本镜像存储库配置了 registry 镜像,则
quay.io/openshift-release-dev/ocp-release和quay.io/openshift-release-dev/ocp-v4.0-art-dev,在启用技术预览功能集前,您必须将 OpenShift Container Platform 发行镜像的 sigstore 签名镜像(mirror)到镜像 registry 中。否则,为发行版本存储库强制执行签名验证的默认openshift集群镜像策略将阻止 Cluster Version Operator 将 CVO Pod 移到新节点,这可防止节点从功能集更改更新结果。您可以使用
oc image mirror命令来镜像签名。例如:oc image mirror quay.io/openshift-release-dev/ocp-release:sha256-1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcdef.sig \ mirror.com/image/repo:sha256-1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcdef.sig
$ oc image mirror quay.io/openshift-release-dev/ocp-release:sha256-1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcdef.sig \ mirror.com/image/repo:sha256-1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcdef.sigCopy to Clipboard Copied! Toggle word wrap Toggle overflow 镜像策略。镜像策略可让集群管理员或应用程序开发人员为特定命名空间配置 sigstore 签名验证策略。MCO 监控不同命名空间中的
ImagePolicy实例,并在集群中的所有节点上创建或更新/etc/crio/policies/<namespace>.json和/etc/containers/registries.d/sigstore-registries.yaml文件。如果镜像策略中的镜像或存储库嵌套在集群镜像策略中的一个镜像或存储库下,则仅应用来自集群镜像策略的策略。例如,如果镜像策略指定了
example.com/global/image,并且集群镜像策略指定了example.com/global,命名空间会使用集群镜像策略中的策略。镜像创建镜像策略对象,并显示类似以下消息的错误:带有冲突镜像身份的镜像策略示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
12.2.1. 关于集群和镜像策略参数
以下参数适用于集群和镜像策略。有关使用这些参数的详情,请参考"创建集群镜像策略 CR"和"创建镜像策略 CR"。
scopes定义分配给策略的存储库和镜像列表。您必须至少列出以下范围之一:
-
使用标签或摘要等单个镜像,如
example.com/namespace/image:latest -
存储库,通过省略标签或摘要,如
example.com -
仓库命名空间,如
example.com/namespace/ -
registry 主机,只指定主机名和端口号,或者使用一个通配符
*.开始,如*.example.com
如果多个范围与同一集群或镜像策略中的单个范围匹配,则仅应用最具体范围的策略。
如果镜像策略中有范围的镜像或存储库嵌套在集群镜像策略中的范围镜像或存储库下,则仅应用来自集群镜像策略的策略。但是,镜像策略对象会被创建。例如,如果镜像策略指定了
example.com/global/image,并且集群镜像策略指定了example.com/global,命名空间会集成集群镜像策略中的策略。-
使用标签或摘要等单个镜像,如
policy包含配置,以允许来自要验证
scopes中列出的源的镜像,并定义如何处理不与验证策略匹配的镜像。您必须配置rootOfTrust,并选择性地配置signedIdentity。rootOfTrust:指定策略的信任根。配置公钥、自带公钥基础架构(BYOPKI)证书或 Fulcio 证书。-
publicKey:指示策略依赖于 sigstore 公钥。您必须指定一个 base64 编码的 PEM 格式公钥。您可以选择包含 Rekor 验证。 PKI指示策略依赖于您自己的公钥基础架构(PKI)中的证书,与 Cosign Bring Your Own Public Key Infrastructure (BYOPKI)验证兼容。您必须指定一个 base64 编码的 PEM 格式公钥。BYOPKI 可让您使用现有 X.509 证书来验证容器镜像,同时与 Cosign 的 bring-own PKI 签名工作流保持一致。重要sigstore BYOPKI 支持只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅以下链接:
FulcioCAWithRekor: 表示策略基于 Fulcio 证书。您必须指定以下参数:- base64 编码的 PEM-format Fulcio CA
- OpenID Connect (OIDC) 签发者
- Fulcio 身份验证配置的电子邮件
- Rekor 验证
-
signedIdentity:指定验证签名中的镜像以及实际镜像本身的方法。要配置签名的身份,您必须将以下参数之一指定为 match 策略:-
MatchRepoDigestOrExact.签名中引用的镜像必须与镜像本身位于同一个存储库中。如果镜像传输标签,签名中引用的镜像必须完全匹配。这是默认值。 -
MatchRepository.签名中引用的镜像必须与镜像本身位于同一个存储库中。如果镜像传输标签,则签名中引用的镜像不需要完全匹配。如果镜像使用指定准确镜像版本的标签签名,则拉取镜像包含latest标签。 -
ExactRepository.签名中引用的镜像必须位于由exactRepository参数指定的同一存储库中。必须指定exactRepository参数。 RemapIdentity。如果有范围的存储库或镜像与指定的prefix匹配,则该前缀将被指定的signedPrefix替换。如果镜像身份不匹配,prefix保持不变,且不会重新映射。在验证其他存储库命名空间的签名时,可以使用此选项来保留供应商的存储库结构。prefix和signedPrefix可以是完全匹配host[:port]字符串的host[:port]值,仓库命名空间或仓库。prefix和signedPrefix不得包含标签或摘要。例如,要指定一个仓库,请使用example.com/library/busybox而不是busybox。要指定example.com/library/busybox的父命名空间,您可以使用example.com/library。您必须指定以下参数:
-
prefix:指定要匹配的镜像前缀。 -
signedPrefix:根据需要指定要重新映射的镜像前缀。
-
-
12.2.2. 关于修改或删除镜像策略
您可以使用与任何其他自定义资源(CR)对象相同的命令来修改或删除集群镜像策略或镜像策略。
您可以通过编辑策略 YAML 并对文件运行 oc apply 命令或直接编辑 ClusterImagePolicy 或 ImagePolicy 对象来修改现有策略。两种方法都以同样的方式应用更改。
您可以为集群或命名空间创建多个策略。这可让您为不同的镜像或仓库创建不同的策略。
您可以通过删除 ClusterImagePolicy 和 ImagePolicy 对象来删除策略。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}