第 9 章 验证镜像签名
您可以通过针对预先配置的密钥验证镜像签名,使用 Red Hat Advanced Cluster Security for Kubernetes(RHACS)来确保集群中容器镜像的完整性。
您可以创建策略来阻止没有验证签名的镜像和镜像。您还可以使用 RHACS 准入控制器停止未授权部署创建来强制实施策略。
注意
- RHACS 3.70 只支持 Cosign 签名和 Cosign 公钥签名验证。如需有关 Cosign 的更多信息,请参阅 Cosign overview。
- 您必须配置签名集成,至少 1 个 Cosign 公钥进行签名验证。
对于所有部署和监视的镜像:
- RHACS 获取并验证每个 4 小时的签名。
- 每当您更改或更新您的签名集成公钥时,RHACS 会验证签名。
9.1. 配置签名集成
在进行镜像签名验证前,您必须首先在 RHACS 中添加您的 Cosign 公钥。
先决条件
- 您必须已有一个 PEM 编码的 Cosign 公钥。如需有关 Cosign 的更多信息,请参阅 Cosign overview。
流程
- 在 RHACS 门户网站中,选择 Platform Configuration → Integrations。
- 向下滚动到 Signature Integrations 部分,并点击 Signature。
- 单击 New integration。
- 输入 集成名称 的名称。
- 点 Cosign → Add a new 公钥。
- 输入 公共密钥 名称。
- 对于 Public key value 字段,输入 PEM 编码的公钥。
- (可选)您可以通过点 Add a new public key and 输入详情来添加多个密钥。
- 点击 Save。