4.4. 签名镜像服务(glance)镜像

流程

1. 在环境文件中，使用 VerifyGlanceSignatures: True 设置启用镜像验证。您必须重新运行 openstack overcloud deploy 命令，才能使此设置生效。

2. 要验证 glance 镜像验证是否已启用，请在 overcloud Compute 节点上运行以下命令：

   $ sudo crudini --get /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf glance verify_glance_signatures

   Copy to Clipboard Toggle word wrap
   注意

   如果您使用 Ceph 作为镜像和计算服务的后端，则会创建一个 CoW 克隆。因此，无法执行镜像签名验证。

3. 确认 glance 已配置为使用 barbican ：

   $ sudo crudini --get /var/lib/config-data/puppet-generated/glance_api/etc/glance/glance-api.conf key_manager backend
   castellan.key_manager.barbican_key_manager.BarbicanKeyManager

   Copy to Clipboard Toggle word wrap

4. 生成证书：

   openssl genrsa -out private_key.pem 1024
   openssl rsa -pubout -in private_key.pem -out public_key.pem
   openssl req -new -key private_key.pem -out cert_request.csr
   openssl x509 -req -days 14 -in cert_request.csr -signkey private_key.pem -out x509_signing_cert.crt

   Copy to Clipboard Toggle word wrap

5. 将证书添加到 barbican secret 存储中：

   $ source ~/overcloudrc
   $ openstack secret store --name signing-cert --algorithm RSA --secret-type certificate --payload-content-type "application/octet-stream" --payload-content-encoding base64  --payload "$(base64 x509_signing_cert.crt)" -c 'Secret href' -f value
   https://192.168.123.170:9311/v1/secrets/5df14c2b-f221-4a02-948e-48a61edd3f5b

   Copy to Clipboard Toggle word wrap
   注意

   记录生成的 UUID 以供稍后的步骤使用。在本例中，证书的 UUID 是 5df14c2b-f221-4a02-948e-48a61edd3f5b。

6. 使用 private_key.pem 为镜像签名并生成 .signature 文件。例如：

   $ openssl dgst -sha256 -sign private_key.pem -sigopt rsa_padding_mode:pss -out cirros-0.4.0.signature cirros-0.4.0-x86_64-disk.img

   Copy to Clipboard Toggle word wrap

7. 将生成的 .signature 文件转换为 base64 格式：

   $ base64 -w 0 cirros-0.4.0.signature  > cirros-0.4.0.signature.b64

   Copy to Clipboard Toggle word wrap

8. 将 base64 值加载到变量中，以便在后续命令中使用它：

   $ cirros_signature_b64=$(cat cirros-0.4.0.signature.b64)

   Copy to Clipboard Toggle word wrap

9. 将已签名的镜像上传到 glance。对于 img_signature_certificate_uuid，您必须指定之前上传到 barbican 的签名密钥的 UUID：

    openstack image create \
   --container-format bare --disk-format qcow2 \
   --property img_signature="$cirros_signature_b64" \
   --property img_signature_certificate_uuid="5df14c2b-f221-4a02-948e-48a61edd3f5b"\
   --property img_signature_hash_method="SHA-256" \
   --property img_signature_key_type="RSA-PSS" cirros_0_4_0_signed \
   --file cirros-0.4.0-x86_64-disk.img
   +--------------------------------+----------------------------------------------------------------------------------+
   | Property                       | Value                                                                            |
   +--------------------------------+----------------------------------------------------------------------------------+
   | checksum                       | None                                                                             |
   | container_format               | bare                                                                             |
   | created_at                     | 2018-01-23T05:37:31Z                                                             |
   | disk_format                    | qcow2                                                                            |
   | id                             | d3396fa0-2ea2-4832-8a77-d36fa3f2ab27                                             |
   | img_signature                  | lcI7nGgoKxnCyOcsJ4abbEZEpzXByFPIgiPeiT+Otjz0yvW00KNN3fI0AA6tn9EXrp7fb2xBDE4UaO3v |
   |                                | IFquV/s3mU4LcCiGdBAl3pGsMlmZZIQFVNcUPOaayS1kQYKY7kxYmU9iq/AZYyPw37KQI52smC/zoO54 |
   |                                | zZ+JpnfwIsM=                                                                     |
   | img_signature_certificate_uuid | ba3641c2-6a3d-445a-8543-851a68110eab                                             |
   | img_signature_hash_method      | SHA-256                                                                          |
   | img_signature_key_type         | RSA-PSS                                                                          |
   | min_disk                       | 0                                                                                |
   | min_ram                        | 0                                                                                |
   | name                           | cirros_0_4_0_signed                                                              |
   | owner                          | 9f812310df904e6ea01e1bacb84c9f1a                                                 |
   | protected                      | False                                                                            |
   | size                           | None                                                                             |
   | status                         | queued                                                                           |
   | tags                           | []                                                                               |
   | updated_at                     | 2018-01-23T05:37:31Z                                                             |
   | virtual_size                   | None                                                                             |
   | visibility                     | shared                                                                           |
   +--------------------------------+----------------------------------------------------------------------------------+

   Copy to Clipboard Toggle word wrap

10. 您可以在 Compute 日志中查看 glance 的镜像验证活动： /var/log/containers/nova/nova-compute.log。例如，您可以在实例引导时预期以下条目：

    2018-05-24 12:48:35.256 1 INFO nova.image.glance [req-7c271904-4975-4771-9d26-cbea6c0ade31 b464b2fd2a2140e9a88bbdacf67bdd8c a3db2f2beaee454182c95b646fa7331f - default default] Image signature verification succeeded for image d3396fa0-2ea2-4832-8a77-d36fa3f2ab27

    Copy to Clipboard Toggle word wrap