红帽全球峰会第 2 章 新功能及功能增强
此 Red Hat Trusted Artifact Signer (RHTAS)发行版本中引入的所有主要改进列表和新功能。
这个版本添加的功能和增强有:
Rekor 的日志分片
如果只保留,则 Rekor 的日志会无限期地增长,这可能会影响整体性能。在这个版本中,我们为 Rekor 添加了日志分片,以帮助管理扩展,并尽量减少具有大型日志的潜在性能下降。您可以通过直接修改 Rekor 自定义资源(CR)来配置分片。有关如何为 Rekor 的 signer 密钥轮转配置日志分片的更多信息,请参阅 RHTAS 管理指南。
CT 日志的日志分片
如果只保留,证书转换(CT)日志将无限期增长,这可能会影响整体性能。在这个版本中,我们为 CT 日志添加了日志分片,以帮助管理扩展,并尽量减少具有大型日志的潜在性能下降。您可以通过直接修改 CT 日志自定义资源(CR)来配置分片。有关如何为 CT 日志的签名密钥轮转配置日志分片的更多信息,请参阅 RHTAS 管理指南。
独立部署 Trillian
在这个版本中,您可以独立于所有其他 RHTAS 组件部署 Trillian 服务。现在,您可以部署使用 RHTAS 操作器的独立版本的 Trillian。
独立于 Trillian 部署 Rekor
在早期版本的 RHTAS 中,Rekor 需要 Trillian 服务以及 Trillian 数据库,才能与 Rekor 在同一命名空间中运行。由于这种依赖,在复杂或网段环境中部署 Rekor 更具挑战性。在这个版本中,我们使 Rekor 独立于 Trillian,为用户提供了实施 Trillian 的灵活性,其能够更适应复杂的基础架构配置。由于这一新功能,我们扩展了 API,这允许您为 Trillian 服务指定连接信息。您可以通过为 Securesign 资源中的 spec.trillian. host 和 选项提供适当的值来指定 Trillian 连接信息。
spec.trillian.port
对 Trusted Artifact Signer operator 的代理支持
连接通常由 OpenShift 环境中的代理建立,这可能对某些组织来说是硬要求。在这个版本中,我们添加了对 OpenShift 环境中配置的代理的支持,到 RHTAS operator 和 operands。
支持 Ingress 分片的自定义 Rekor UI 路由
在这个版本中,您可以为 Rekor 用户界面(UI)设置自定义路由,以用于 OpenShift 的 Ingress Controller 分片 功能。
您可以通过修改 ingress 和 route 资源的 externalAccess 部分来配置此功能,在 routeSelectorlabels 部分下添加 type: dev 标签。例如:
这允许 Ingress Controller 为特定预设置路由识别这些资源,本例中为 dev 路由。
Operator 支持带有证书注入的自定义 CA 捆绑包
在这个版本中,RHTAS 操作器支持使用证书注入支持自定义证书颁发机构(CA)捆绑包。为确保与 OpenShift 代理或其他需要信任特定 CA 的其他服务进行安全通信,RHTAS 操作器会自动将可信 CA 捆绑包注入其托管服务中。这些托管服务包括: Trillian、Fulcio、Rekor、Certificate Transparency (CT)日志和 Timestamp Authority (TSA)。
您可以通过以下两种方式之一引用包含自定义 CA 捆绑包的配置映射来信任额外的 CA 捆绑包:
-
在相关的自定义资源(CR)文件中,在
metadata.annotations部分下,添加rhtas.redhat.com/trusted-ca。 -
通过在
spec中添加trustedCA字段,直接在 CR 文件中配置自定义 CA 捆绑包。
为 Fulcio 配置 CT 日志前缀
在这个版本中,我们添加了为 Fulcio 配置证书转换(CT)日志前缀的功能。在早期版本中,我们硬编码了前缀给 trusted-artifact-signer。使前缀可配置,为您提供更大的灵活性,并允许您在 CT 服务中目标特定的 CT 日志。Fulcio 自定义资源定义(CRD)有一个新的 spec.ctlog.prefix 字段,您可以在其中设置前缀。
企业合同可以初始化 TUF root
在这个版本中,您可以使用 ec sigstore initialize --root ${TUF_URL} 命令初始化企业合同,并带有由 RHTAS 部署的 Update Framework (TUF) root。执行此初始化将可信元数据存储在本地 $HOME/.sigstore/root 中。
支持在企业合同策略中为特定镜像排除规则
在这个版本中,您可以在特定镜像摘要的 Enterprise Contract (EC)策略的 volatileConfig 部分中添加一个 exclude 指令。您可以使用 imageRef 键指定镜像摘要,这会将策略异常限制为一个特定的镜像。
支持机构级别 OCI registry 身份验证
在这个版本中,企业合同(EC)支持使用完整存储库路径的子路径指定的开放容器项目(OCI) registry 凭证。如果有多个匹配的凭证,它会以特定顺序尝试它们。如需更多信息,请参阅针对容器镜像 registry 规格 进行身份验证。
改进了企业合同策略源的审计
在这个版本中,我们记录 Git SHA 的条目,或记录每个策略源的捆绑包镜像摘要。这可以更好地审核企业合同(EC)结果,显示 EC 所使用的策略和策略数据的确切版本,从而可以可重复生成。
将纯文本显示为企业合同报告的默认文本
在这个版本中,我们将 Enterprise Contract (EC)报告的默认输出格式改为纯文本。纯文本格式可以更轻松地读取 EC 结果报告。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}