红帽全球峰会第 13 章 验证镜像签名
您可以通过针对预先配置的密钥验证镜像签名,使用 Red Hat Advanced Cluster Security for Kubernetes (RHACS)来确保容器镜像的完整性。
您可以创建策略来阻止未签名的镜像,以及没有验证签名的镜像。您还可以使用 RHACS 准入控制器停止未授权部署创建来强制实施策略。
注意
13.1. 配置签名集成
在执行镜像签名验证前,您必须首先在 RHACS 中创建签名集成。
签名集成可以使用多种验证方法进行配置。支持以下验证方法:
- Cosign 公钥
- Cosign 证书
13.1.1. 配置 Cosign 公钥
先决条件
- 您必须已有一个 PEM 编码的 Cosign 公钥。有关 Cosign 的更多信息,请参阅 Cosign 概述。
流程
-
在 RHACS 门户中,选择 Platform Configuration
Integrations。 - 滚动到 Signature Integrations,再点 Signature。
- 点 New integration。
- 输入 集成名称。
-
点 Cosign public Keys
Add a new public key。 - 输入 公钥 名称。
- 对于 Public key value 字段,输入 PEM 编码的公钥。
- (可选)您可以通过点 Add a new public key 并输入详情来添加多个密钥。
- 点击 Save。
13.1.2. 配置 Cosign 证书
先决条件
- 您必须已经有证书身份和签发者。另外,您还需要 PEM 编码的证书和链。有关 Cosign 证书的更多信息,请参阅 Cosign 证书验证
流程
-
在 RHACS 门户中,选择 Platform Configuration
Integrations。 - 滚动到 Signature Integrations,再点 Signature。
- 点 New integration。
- 输入 集成名称。
-
点 Cosign certificates
Add a new certificate verification。 - 输入 证书 OIDC Issuer。您可以选择在 RE2 语法中使用正则表达式。
- 输入 证书身份。您可以选择在 RE2 语法中使用正则表达式。
- (可选)输入 证书链 PEM 编码 以验证证书。如果没有提供链,则会针对 Fulcio root 验证证书。
- (可选)输入 证书 PEM 编码 以验证签名。
- (可选)您可以通过点 Add a new certificate verification 并输入详情来添加多个证书验证。
- 点击 Save。
