第 9 章 验证镜像签名

您可以通过针对预先配置的密钥验证镜像签名,使用 Red Hat Advanced Cluster Security for Kubernetes(RHACS)来确保集群中容器镜像的完整性。

您可以创建策略来阻止没有验证签名的镜像和镜像。您还可以使用 RHACS 准入控制器停止未授权部署创建来强制实施策略。

注意
  • RHACS 3.70 只支持 Cosign 签名和 Cosign 公钥签名验证。如需有关 Cosign 的更多信息,请参阅 Cosign overview
  • 您必须配置签名集成,至少 1 个 Cosign 公钥进行签名验证。

  • 对于所有部署和监视的镜像:

    • RHACS 获取并验证每个 4 小时的签名。
    • 每当您更改或更新您的签名集成公钥时,RHACS 会验证签名。

9.1. 配置签名集成

在进行镜像签名验证前,您必须首先在 RHACS 中添加您的 Cosign 公钥。

先决条件

  • 您必须已有一个 PEM 编码的 Cosign 公钥。如需有关 Cosign 的更多信息,请参阅 Cosign overview

流程

  1. 在 RHACS 门户网站中,选择 Platform ConfigurationIntegrations
  2. 向下滚动到 Signature Integrations 部分,并点击 Signature
  3. 单击 New integration
  4. 输入 集成名称 的名称
  5. CosignAdd a new 公钥
  6. 输入 公共密钥 名称。
  7. 对于 Public key value 字段,输入 PEM 编码的公钥。
  8. (可选)您可以通过点 Add a new public key and 输入详情来添加多个密钥。
  9. 点击 Save