验证已签名容器镜像
特性状态:
Kubernetes v1.24 [alpha]
准备开始
你需要安装以下工具:
验证二进制签名
Kubernetes 发布过程使用 cosign 的无密钥签名对所有二进制工件(压缩包、 SPDX 文件、 独立的二进制文件)签名。要验证一个特定的二进制文件, 获取组件时要包含其签名和证书:
URL=https://dl.k8s.io/release/v1.28.1/bin/linux/amd64
BINARY=kubectl
FILES=(
"$BINARY"
"$BINARY.sig"
"$BINARY.cert"
)
for FILE in "${FILES[@]}"; do
curl -sSfL --retry 3 --retry-delay 3 "$URL/$FILE" -o "$FILE"
done
然后使用 cosign verify-blob
验证二进制文件:
cosign verify-blob "$BINARY" \
--signature "$BINARY".sig \
--certificate "$BINARY".cert \
--certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \
--certificate-oidc-issuer https://accounts.google.com
说明:
Cosign 2.0 需要指定 --certificate-identity
和 --certificate-oidc-issuer
选项。
想要进一步了解无密钥签名,请参考 Keyless Signatures。
Cosign 的早期版本还需要设置 COSIGN_EXPERIMENTAL=1
。
如需更多信息,请参考 sigstore Blog
验证镜像签名
完整的镜像签名列表请参见发行版本。
从这个列表中选择一个镜像,并使用 cosign verify
命令来验证它的签名:
cosign verify registry.k8s.io/kube-apiserver-amd64:v1.28.1 \
--certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \
--certificate-oidc-issuer https://accounts.google.com \
| jq .
验证所有控制平面组件镜像
验证最新稳定版(v1.28.1)所有已签名的控制平面组件镜像, 请运行以下命令:
curl -Ls "https://sbom.k8s.io/$(curl -Ls https://dl.k8s.io/release/stable.txt)/release" \
| grep "SPDXID: SPDXRef-Package-registry.k8s.io" \
| grep -v sha256 | cut -d- -f3- | sed 's/-/\//' | sed 's/-v1/:v1/' \
| sort > images.txt
input=images.txt
while IFS= read -r image
do
cosign verify "$image" \
--certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \
--certificate-oidc-issuer https://accounts.google.com \
| jq .
done < "$input"
当你完成某个镜像的验证时,可以在你的 Pod 清单通过摘要值来指定该镜像,例如:
registry-url/image-name@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2
要了解更多信息,请参考镜像拉取策略章节。
使用准入控制器验证镜像签名
有一些非控制平面镜像
(例如 conformance 镜像),
也可以在部署时使用
sigstore policy-controller
控制器验证其签名。以下是一些有助于你开始使用 policy-controller
的资源:
最后修改 May 15, 2023 at 10:04 PM PST: [zh-cn] administer-cluster/verify-signed-artifacts.md (ece6fd9015)