红帽全球峰会第 2 章 技术预览
此 Red Hat Trusted Artifact Signer (RHTAS)发行版本中引入或更新的技术预览功能概述。
重要
技术预览功能不包括在红帽生产服务级别协议(SLA)中,且其功能可能并不完善。因此,红帽不建议在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅 https://access.redhat.com/support/offerings/techpreview/。
- 可信工件签名控制台
- 在本发行版本中,我们添加了 RHTAS 控制台,它是一个用户友好的图形界面,用于查看更新框架(TUF) root 详情和证书等只读信息。这提高了在管理 RTHAS 环境时用户的生命周期质量。在此次更新之前,安全详情会在多个工具中分发,从而导致用户友好的体验较低。在这个版本中,用户有一个统一的控制台,在后续 RHTAS 版本中添加了更多功能,例如: Rekor Search UI、Rekor 键以及工件检索和验证操作的功能。如需部署说明,请参阅 GitHub 上的项目存储库 以了解更多详细信息。
- 添加了 Sigstore Policy Controller 准入控制器
- 在这个版本中,用户可以部署 Sigstore Policy Controller 准入控制器,以及在 Red Hat OpenShift 上运行的 RHTAS 部署。此集成为用户提供了相应的方法,根据 RHTAS 生成的签名或测试,可以管理允许在其 OpenShift 集群上操作的容器镜像。用户可以通过安装协调上游 Helm Chart 的 Operator 来安装和管理 Sigstore Policy Controller 准入控制器。此 Operator 可确保仅在符合指定的集群镜像策略时,才允许集群工作负载。
- 为 Red Hat OpenShift 上的 Trusted Artifact Signer 添加高可用性支持
- 在这个版本中,用户可以在单个集群部署中为高可用性(HA)配置 RHTAS,从而增强服务可靠性和性能。RHTAS 部署现在保持复制关键组件,以消除单一故障点,提供负载平衡、故障转移机制和健康检查。这样,系统就可以有效地管理工作负载,确保持续 CI/CD 管道的运行时间依赖于受信任的 Artifact Signer 服务,并保持可正常运行的连续性。
- 添加了对签名和验证 AI/ML 模型的支持
在这个版本中,我们引入了一个新的 Model Validation Operator,以及在运行工作负载前为智能(AI)和机器学习(ML)模型进行 pod 验证的命令行过程。Model Validation Operator 集成了 Webhook,以自动注入初始化容器以进行验证,确保只使用验证的模型。此验证过程与 RHTAS 服务合作,以验证 AI/ML 模型的真实性。您还可以使用命令行界面签署和验证 AI/ML 模型,而无需安装单独的二进制文件。
有关更多信息,请参阅 RHTAS 管理指南。
- 扩展 Trusted Artifact Signer 服务的新配置选项
-
借助此次更新,我们为 RHTAS 实施增强的容器集调度和资源管理。此功能增强通过新的
PodRequirements规格,对扩展、调度和资源分配提供精细的控制。这通过提供对自定义资源(CR)的控制,例如:Fulcio、Certificate Transparency log (CTlog)、Rekor、Trillian、Timestamp Authority (TSA)和 Update Framework (TUF) Trust Root 来解决需要。用户现在可以管理 pod 关联性规则,定义节点污点的匹配容限,指定高可用性的副本数,并设置计算资源请求和限值。这些新配置选项也会在 OpenShift 控制台 UI 中公开,以便更轻松地管理。
- Rekor attestation storage 的新配置选项
- 在这个版本中,您可以为 Rekor attestations 配置外部存储。此新功能提高了管理 Rekor attestations 时的可扩展性和灵活性。这允许同时使用多个 Rekor 副本。我们使用一个新的 attestations 部分扩展了 Rekor 的自定义资源定义(CRD)。在本节中,您可以从存储供应商指定存储 URL,例如:Amazon Web Services (AWS) S3、Google Cloud Storage (GCS)或基于文件的持久性卷声明(PVC)。
- Rekor 外部搜索索引的新配置选项
- 在这个版本中,用户可以使用自己的 Redis 数据库作为 Rekor 的搜索索引。此集成支持与外部、高可用性、受管数据库或缓存服务的连接。对于需要更高可扩展性、可靠性和使用现有基础架构的生产环境来说,这一点至关重要。配置外部搜索索引后,TLTAS Operator 不会部署嵌入的 Redis 实例。相反,Rekor 服务主动使用指定的外部连接配置,其中包括对启用了 TLS 的连接的支持。这为用户提供了更大的灵活性,以及企业就绪的 RHTAS 部署,简化了管理和增强整体性能。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}