Menu Close

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

12.2. 使用 Atomic CLI 签署镜像

OpenShift Container Platform 不自动执行镜像签名。签名需要开发人员的专用 GPG 密钥,通常存储在工作站上。本文档描述了该工作流。

atomic 命令行界面(CLI)版本 1.12.5 或更高版本提供用于签名容器镜像的命令,这些镜像可以推送到 OpenShift 容器注册表。基于红帽的发布中提供了 atomic CLI:RHEL、Centos 和 Fedora.在 RHEL Atomic Host 系统中预先安装 atomic CLI。有关在 RHEL 主机上安装 atomic 软件包的详情,请参考 启用镜像签名支持

重要

atomic CLI 使用来自 oc login 的身份验证凭据。务必在同一主机上对 atomicoc 命令使用相同的用户。例如,如果您以 sudo 身份执行 atomic CLI,请确保使用 sudo oc login 登录 OpenShift Container Platform。

要将签名附加到镜像,用户必须具有 image-signer 集群角色。集群管理员可使用以下方法添加此项:

$ oc adm policy add-cluster-role-to-user system:image-signer <user_name>

镜像可以在推送时签名:

$ atomic push [--sign-by <gpg_key_id>] --type atomic <image>

当指定 atomic 传输类型参数时,签名存储在 OpenShift Container Platform 中。如需更多信息,请参阅 签名传输。

有关如何使用 atomic CLI 设置和执行镜像签名的详情,请查看 RHEL Atomic 主机管理容器:签署容器镜像 文档或 原子推送 --help 输出以获取参数详细信息。

容器镜像 签名集成指南中 介绍了使用 atomic CLI 和 OpenShift 容器注册表的具体示例工作流。