Docker 의 Verify Bridge 이미지 서명 검증

온라인에서 편집하기

PodmanIBM® 의 Container Registry 에 있는 icr.io/isv-saas/verify-bridge:latest 이미지는 서명이 되어 있으며, 이 이미지를 컴퓨터로 다운로드하면 또는 을 사용하여 Skopeo 서명을 검증할 수 있습니다.

시작하기 전에

공개 키가 필요합니다.
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=hwfo

-----END PGP PUBLIC KEY BLOCK-----

이 태스크에 대한 정보

Red Hat® OpenShift®, Skopeo 및 Podman 에서 사용하는 컨테이너 런타임은 서명 유효성 검사 정책을 설명하는 파일입니다 policy.json . 정책이 생성되어 컨테이너 도구( Red Hat OpenShift, Skopeo 또는 Podman )에 적용되면, 해당 정책은 서명을 검증하여 이미지 무결성을 보장합니다. 또한 간단한 서명 페이로드의 다른 부분도 검증할 수 있습니다.

프로시저

  1. 대상 시스템에 로그인하십시오.
  2. ~/policy.json파일이나.와 같은 파일을 /etc/containers/policy.json 생성하거나 업데이트합니다.
    이미지 정책에 대한 Red Hat OpenShift 문서를 참조하세요: podman-image-trust. <public key>이전 플랫폼과 새 플랫폼에서 각각 다른 공개 키가 있거나 인증서를 갱신한 후 공개 키가 두 개 이상인 경우, 두 gpg 공개 키를 하나로 합쳐서 해당 파일을 사용할 수 있습니다.
    예를 들면 다음과 같습니다.
    {
    "default": [
        {
            "type":"reject"
        }
    ],
    "transports":
        {
            "docker":
                {
                    "": [{ "type": "signedBy", "keyType": "GPGKeys", "keyPath": "<path to public keyfile>"}]
                }
        }
}
  3. 다음 명령어 중 하나를 사용하여 ‘ Docker ’ 이미지 서명에서 Verify Bridge를 검증할 방법을 지정하십시오.
    • 서명을 검증하기 위해 를 사용하여 Skopeo 로컬 임시 디렉터리에 복사하려면 다음 명령을 사용하십시오.
      skopeo copy --policy ~/policy.json docker://icr.io/isv-saas/verify-bridge:latest dir:./temp
    • `--` --policy 옵션을 사용하여 Skopeo 서명을 검증하고 로컬 임시 디렉터리에 복사하려면 다음 명령을 사용하십시오.
      skopeo copy --policy ~/policy.json docker://icr.io/isv-saas/verify-bridge:latest dir:./temp
    • Podman풀(pull) 과정에서 서명을 검증하려면 다음 명령어를 사용하십시오.
      podman pull --signature-policy ~/policy.json icr.io/isv-saas/verify-bridge:latest