第 13 章 验证镜像签名
您可以使用 Red Hat Advanced Cluster Security for Kubernetes (RHACS)通过针对预先配置的密钥验证镜像签名来确保集群中容器镜像的完整性。
您可以创建策略来阻止未签名的镜像和没有验证签名的镜像。您还可以使用 RHACS 准入控制器停止未授权部署创建来强制实施策略。
注意
- RHACS 3.70 只支持 Cosign 签名和 Cosign 公钥签名验证。有关 Cosign 的更多信息,请参阅 Cosign 概述。
- 您必须至少使用 1 Cosign 公钥配置签名集成,以进行签名验证。
对于所有部署和监视的镜像:
- RHACS 每 4 小时获取并验证签名。
- 每当您更改或更新签名集成公钥时,RHACS 会验证签名。
13.1. 配置签名集成
在执行镜像签名验证前,您必须首先在 RHACS 中添加 Cosign 公钥。
先决条件
- 您必须已有一个 PEM 编码的 Cosign 公钥。有关 Cosign 的更多信息,请参阅 Cosign 概述。
流程
-
在 RHACS 门户中,选择 Platform Configuration
Integrations。 - 向下滚动到 Signature Integrations 部分,然后点 Signature。
- 点 New integration。
- 输入 集成名称。
-
点 Cosign
Add a new public key。 - 输入 公钥 名称。
- 对于 Public key value 字段,输入 PEM 编码的公钥。
- (可选)您可以通过点 Add a new public key 并输入详情来添加多个密钥。
- 点击 Save。
