Questão Assinaturas de imagem e confiança de conteúdo com o Notary + OpenShift?


RedHat tem seu próprio método de assinatura e verificação de imagens "Atomic" (Docker) descrito Aqui. O uso de assinaturas atômicas para assinar as imagens e verificar a integridade das imagens no OpenShift está bem documentado.

Docker tem sua própria abordagem para confiança de conteúdo e assinaturas de imagem, Notário.

Embora o OpenShift seja usado para criar imagens, a assinatura das imagens pode ser feita de qualquer maneira: atômicousando CLI atômica ou estivador, com simplesmente comandos CLI do Docker (push, pull, run etc.) DOCKER_CONTENT_TRUST=1 ou com notário cliente para usos mais avançados.

As assinaturas notariais / atômicas (arquivos blob de assinatura) podem ser transferidas pela web, por exemplo. via servidor web, métodos de transferência de arquivos - você nomeia.

Questões):
Como você configura / executa a verificação de assinatura do Docker / Notary no OpenShift?
A verificação da imagem do sistema operacional comando parece depender de uma chave GPG (pública), a chave GPG pode ser extraída do Notário?
Ou se o comando não puder ser usado, como garantir a confiança como transportes de assinatura do estivador parecem ser suportado? - a solução não deve ser muito "invasiva" para não afetar o nível de suporte de RH.


0


origem




Respostas: