红帽全球峰会第 6 章 使用签名的容器
6.1. 为容器签名部署您的系统
自动化中心实施镜像签名,以便为执行环境容器镜像提供更好的安全性。
要部署您的系统,使其准备好进行容器签名,请创建一个签名脚本。
注意
安装程序会在安装程序所在的同一服务器上查找脚本和密钥。
流程
在终端中,创建一个签名脚本,并将脚本路径作为安装程序参数传递。
示例 :
#!/usr/bin/env bash # pulp_container SigningService will pass the next 4 variables to the script. MANIFEST_PATH=$1 FINGERPRINT="$PULP_SIGNING_KEY_FINGERPRINT" IMAGE_REFERENCE="$REFERENCE" SIGNATURE_PATH="$SIG_PATH" # Create container signature using skopeo skopeo standalone-sign \ $MANIFEST_PATH \ $IMAGE_REFERENCE \ $FINGERPRINT \ --output $SIGNATURE_PATH # Optionally pass the passphrase to the key if password protected. # --passphrase-file /path/to/key_password.txt # Check the exit status STATUS=$? if [ $STATUS -eq 0 ]; then echo {\"signature_path\": \"$SIGNATURE_PATH\"} else exit $STATUS fi查看 Ansible Automation Platform 安装程序清单文件,了解以
automationhub-4.4 开头的容器签名选项。[all:vars] . . . automationhub_create_default_container_signing_service = True automationhub_container_signing_service_key = /absolute/path/to/key/to/sign automationhub_container_signing_service_script = /absolute/path/to/script/that/signs
- 安装完成后,进入您的自动化中心。
- 在导航面板中,选择 。
- 确保有一个名为 container-default 或 container-anyname 的密钥。
注意
container-default 服务由 Ansible Automation Platform 安装程序创建的。
