3.10. 创建容器镜像签名验证策略

您可以创建容器镜像签名验证策略。

默认启用签名验证。如果缺少此策略，则 pod 不会启动。

如果您不使用容器镜像签名验证，您可以在不签名验证的情况下创建策略。

如需更多信息，请参阅 containers-policy.json 5。

流程

根据以下示例创建 security-policy-config.json 文件：

没有签名验证：

{
  "default": [
  {
    "type": "insecureAcceptAnything"
  }],
  "transports": {}
}

使用签名验证：

{
    "default": [
    ],
    "transports": {
        "docker": {
            "<container_registry_url>/<username>/busybox:latest":

1


            [
                {
                    "type": "sigstoreSigned",
                    "keyPath": "kbs:///default/img-sig/pub-key"

2

1: 指定容器 registry URL，例如 "quay.io"。
2: 指定您创建的容器镜像签名验证 secret 的类型和标签，例如 img-sig/pub-key。

运行以下命令来创建安全策略：
```
$ oc create secret generic security-policy \
  --from-file=osc=./<security-policy-config.json> \
  -n trustee-operator-system
```
不要更改机密类型 security-policy 或 key, osc。
security-policy secret 在 KbsConfig 自定义资源的 spec.kbsSecretResources 键中指定。

学习

尝试、购买和销售

社区

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。了解我们当前的更新.

Theme

© 2026 Red Hat

返回顶部