镜像签名与验签-华为云

容器镜像服务 SWR-镜像签名:创建签名规则

创建签名规则登录容器镜像服务控制台，单击左侧菜单栏“企业版”，然后单击仓库名称进入仓库详情页面。在左侧导航栏选择“ 镜像签名”。在右上角单击“创建签名规则”。填写具体规则。表2 参数说明参数名称说明示例规则名称镜像签名规则的名称。 SignatureRule 命名空间选择要签名的镜像所在的命名空间。 library 规则范围镜像：镜像名称，默认使用正则表达式。单击可手动选择镜像。正则表达式规则可填写如nginx-*、{repo1, repo2} 等，其中： *：匹配不包含路径分隔符“/”的任何字段。 **：匹配包含路径分隔符“/”的任何字段。 ?：匹配任何单个非“/”的字符。 {选项1, 选项2, ...}：同时匹配多个选项。匹配上其中一个即可。版本：镜像的版本，同样使用正则表达式，匹配规则与镜像名称相同。 nginx-*：表示匹配“nginx-”开头的镜像。签名方式当前支持使用KMS签名。 KMS 签名Key 选择在创建非对称密钥中创建的密钥。 key1 触发模式手动：手动触发，规则创建完成后需要您手动单击执行。事件触发 + 手动：事件触发指当有新镜像上传到仓库且符合匹配规则时触发镜像签名。事件触发 + 手动规则描述规则的描述信息。 - 图2 创建签名规则单击“确定”完成规则创建。

容器镜像服务 SWR 镜像签名与验签

容器镜像服务 SWR-镜像签名:创建非对称密钥

创建非对称密钥登录数据加密服务控制台。在左侧导航栏选择“密钥管理”，单击右上角的“创建密钥”。在“创建密钥”对话框中配置参数，然后单击“确定”。镜像签名功能需要非对称密钥算法的支持，创建密钥时，密钥算法需选择EC、RSA或SM2类型，详情请见表1。其他参数配置请参见创建密钥。图1 创建密钥表1 容器镜像服务支持的密钥算法类型密钥类型算法类型密钥规格说明用途非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSASSA_PSS_SHA_256 RSASSA_PSS_SHA_384 RSASSA_PSS_SHA_512 RSASSA_PK CS 1_V1_5_SHA_256 RSASSA_PKCS1_V1_5_SHA_384 RSASSA_PKCS1_V1_5_SHA_512 RSA非对称密钥小量数据的加解密或数字签名。非对称密钥 ECC EC_P256 ECDSA_SHA_256 EC_P384 ECDSA_SHA_384 椭圆曲线密码，使用NIST推荐的椭圆曲线数字签名非对称密钥 SM2 SM2 国密SM2非对称密钥小量数据的加解密或数字签名。

容器镜像服务 SWR 镜像签名与验签

容器镜像服务 SWR-镜像验签:操作步骤

操作步骤登录云容器引擎CCE控制台。在左侧导航栏上单击“插件市场”。在插件市场页面上方搜索框输入“cosign”并搜索。在下方的搜索结果中找到“容器镜像签名验证”插件，单击“安装”。填写“安装插件”页面的相关参数。选择集群：选择镜像所在集群。该插件只能在K8S V1.23及以上版本集群上安装。对集群某个命名空间进行镜像验签时，需要先为该命名空间添加 policy.sigstore.dev/include:true 标签。选择版本：选择插件版本规格配置单仓库：当前插件只支持在1个仓库上使用。高可用：当前插件支持在2个仓库上使用。自定义：自定义仓库数、CPU配额、容器配额。表1 swr-cosign插件规格配置参数参数说明插件规格该插件可配置“单实例”、“高可用”或“自定义”规格。实例数选择上方插件规格后，显示跟插件规格匹配的实例数。选择“自定义”规格时，您可根据需求调整插件实例数。容器选择“自定义”规格时，您可根据需求调整插件实例的容器规格。参数配置 KMS密钥：选择一个创建非对称密钥中创建好的密钥。验签镜像：单击，选择需要验签的镜像。表2 swr-cosign插件参数配置参数参数说明 KMS密钥选择一个密钥，仅支持 EC_P256、EC_P384、SM2 类型的密钥。您可以前往密钥管理服务新增密钥。验签镜像验签镜像地址通过正则表达式进行匹配，例如填写docker.io/**表示对docker.io镜像仓库的镜像进行验签。如需对所有镜像验签，请填写**。填写完成后，单击“安装”。待插件安装完成后，选择对应的集群，然后单击左侧导航栏的“插件中心”，可筛选“已安装插件”查看相应的插件。

容器镜像服务 SWR 镜像签名与验签

云服务器内容精选

镜像签名与验签

7*24

备案

专业服务

退订

建议反馈

售前咨询热线