Bildsignaturen & Content-Vertrauen mit Notary + OpenShift?

638
straville

RedHat hat ihre eigenen „Atomic“ (Docker) Bild Signieren und Verifizieren Verfahren beschrieben hier . Die Verwendung von atomaren Signaturen beim Signieren der Bilder und Überprüfen der Bildintegrität in OpenShift ist gut dokumentiert .

Docker hat seinen eigenen Ansatz für Inhaltsvertrauen und Bildsignaturen, Notar .

Obwohl OpenShift zum Erstellen von Images verwendet wird, können die Images auf verschiedene Weise signiert werden: Atomic, Atomic CLI oder Docker, einfach Docker-CLI-Befehle (Push, Pull, Run usw.), DOCKER_CONTENT_TRUST=1oder Notary- Client für Fortgeschrittene Verwendungen.

Notar- / Atomic-Signaturen (Signatur-Blob-Dateien) können über das Web übertragen werden, z. B. über einen Webserver, Dateiübertragungsmethoden - Sie nennen es.

Frage (n):
Wie wird die Signaturüberprüfung von Docker / Notar in OpenShift konfiguriert / durchgeführt?
Der Befehl zur BS- Image-Überprüfung scheint sich auf einen GPG-Schlüssel (public) zu verlassen. Kann der GPG-Schlüssel aus dem Notar extrahiert werden?
Oder, wenn der Befehl nicht verwendet werden kann, wie kann man andernfalls das Vertrauen gewährleisten, da die Docker-Signaturtransporte scheinbar unterstützt werden ? - Die Lösung sollte nicht zu "invasiv" sein, um den RH-Support nicht zu beeinträchtigen.

0

0 Antworten auf die Frage

Verwandte Probleme