OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

验证镜像签名

您可以使用Red Hat Advanced Cluster Security for Kubernetes (RHACS) 通过针对预配置的密钥验证镜像签名来确保集群中容器镜像的完整性。

您可以创建策略来阻止未签名的镜像和没有经过验证签名的镜像。您还可以通过使用RHACS准入控制器来阻止未授权的部署创建来强制执行策略。

  • RHACS仅支持Cosign签名和Cosign公钥/证书验证。有关Cosign的更多信息,请参阅Cosign概述

  • 对于Cosign签名验证,RHACS不支持与透明日志Rekor通信。

  • 您必须至少配置一种Cosign验证方法才能进行签名验证。

  • 对于所有已部署和监控的镜像

    • RHACS每4小时获取并验证一次签名。

    • 每当您更改或更新签名集成验证数据时,RHACS都会验证签名。

配置签名集成

在执行镜像签名验证之前,您必须首先在 RHACS 中创建一个签名集成。

一个签名集成可以配置多种验证方法。支持以下验证方法:

  • Cosign 公钥

  • Cosign 证书

配置 Cosign 公钥

先决条件

  • 您必须已经拥有一个 PEM 编码的 Cosign 公钥。有关 Cosign 的更多信息,请参见 Cosign 概述

步骤

  1. 在 RHACS 门户中,选择 **平台配置** → **集成**。

  2. 滚动到 **签名集成** 并单击 **签名**。

  3. 单击 **新建集成**。

  4. 输入 **集成名称**。

  5. 单击 **Cosign 公钥** → **添加新的公钥**。

  6. 输入 **公钥名称**。

  7. 对于 **公钥值** 字段,输入 PEM 编码的公钥。

  8. (可选) 您可以通过单击 **添加新的公钥** 并输入详细信息来添加多个密钥。

  9. 单击 **保存**。

配置 Cosign 证书

先决条件

  • 您必须已经拥有证书标识和颁发者。或者,您还需要一个 PEM 编码的证书和证书链。有关 Cosign 证书的更多信息,请参见 Cosign 证书验证

步骤

  1. 在 RHACS 门户中,选择 **平台配置** → **集成**。

  2. 滚动到 **签名集成** 并单击 **签名**。

  3. 单击 **新建集成**。

  4. 输入 **集成名称**。

  5. 单击 **Cosign 证书** → **添加新的证书验证**。

  6. 输入 **证书 OIDC 发行者**。您可以在 RE2 语法 中可选地使用正则表达式。

  7. 输入 **证书标识**。您可以在 RE2 语法 中可选地使用正则表达式。

  8. (可选) 输入 **PEM 编码的证书链** 以验证证书。如果未提供证书链,则将针对 Fulcio 根证书验证证书。

  9. (可选) 输入 **PEM 编码的证书** 以验证签名。

  10. (可选) 您可以通过单击 **添加新的证书验证** 并输入详细信息来添加多个证书验证。

  11. 单击 **保存**。

在策略中使用签名验证

创建自定义安全策略时,可以使用 **受信任的镜像签名者** 策略条件来验证镜像签名。

先决条件

  • 您必须已经配置了一个至少包含 1 个 Cosign 公钥的签名集成。

步骤

  1. 创建或编辑策略时,将 **未经受信任的镜像签名者验证** 策略条件拖到 **策略条件** 部分的策略字段拖放区域。

  2. 单击 **选择**。

  3. 从列表中选择受信任的镜像签名者,然后单击 **保存**。

其他资源

强制执行签名验证

为了防止用户使用未签名的镜像,您可以使用 RHACS 准入控制器强制执行签名验证。您必须首先在集群配置设置中启用 **联系镜像扫描器** 功能。然后,在创建安全策略以强制执行签名验证时,您可以使用 **通知和强制执行** 选项。

有关更多信息,请参见 启用准入控制器强制执行

其他资源