tocdepth: 2

Подписать Docker-образ в Artifact Registry и настроить проверку подписи с помощью Connoisseur

С помощью инструкции подпишем Docker-образ в Artifact-Registry и настроим проверку подписи в Managed Kubernetes. Подпись и проверка Docker-образов необходимы для обеспечения подлинности и целостности образов.

Перед началом работы

Шаг 1. Подпишите образ

Создайте пару ключей с помощью Cosign:
```
cosign generate-key-pair
```
Задайте и введите пароль для закрытого ключа.

Чтобы подписать Docker-образ в Artifact Registry, выполните команду:

cosign sign --key cosign.key --tlog-upload=false <URI_реестра>/<название_Docker-образа>:<тег>

Чтобы проверить корректность подписи Docker-образа, выполните команду:

cosign verify --key cosign.pub --insecure-ignore-tlog=true <URI_реестра>/<название_Docker-образа>:<тег>

Шаг 2. Добавьте публичный ключ в конфигурационный файл Connaisseur

Пройдите аутентификацию в API.
Выполните HTTP-запрос:
```
PATCH /v2/clusters/{clusterId}/addons/connaisseur
```
Где clusterId — идентификатор кластера.

В теле запроса передайте параметры:

{
  "clusterId": <идентификатор_кластера>,
  "addonName": сonnaisseur,
  "addonConfiguration":
      validators:
        - name: cloud.ru
          type: cosign
          trustRoots:
          - name: default
            key: |
              -----BEGIN PUBLIC KEY-----
              Публичный ключ cosign.pub
              -----END PUBLIC KEY-----
          auth:
            secretName: cloud-registry-secret
      policy:
        - pattern: <URI_реестра>/*:*
          validator: cloud.ru
          with:
            verifyInTransparencyLog: false
}

Шаг 3. Создайте под с подписанным образом

В терминале или PowerShell выполните команду:

kubectl run pod --image=<URI_реестра>/<название_Docker-образа>:<тег>

Результат:

pod/pod created

Шаг 4. Удалите ресурсы

Если вы закончили работать с примером, удалите созданные ресурсы:

Была ли статья полезной?

Спасибо за отзыв! Что можно улучшить?