Подпишите образы докеров с внутренним CA компании

Question

Я новичок в Docker и Docker Trust. Я немного озадачен подписью изображений и ролью нотариуса.

Я создал несколько образов докера и отправил их в ACR (реестр контейнеров Azure). Теперь следующая часть, чтобы подписать их. Мой вопрос: могу ли я использовать внутренний или сторонний сертификат для подписи кода для подписи этих изображений? Если да, любые указатели с практическими рекомендациями приветствуются.

Спасибо!

Answer 1

Ограничение для ключа Доверительных ключей содержания ACR аналогично ограничениям для Доверительных ключей содержимого Docker. Таким образом, вы можете использовать свой существующий внутренний сертификат или сторонний сертификат для подписи кода для ключей доверия содержимого ACR. Вы можете выполнить действия, описанные в Подписание изображений с помощью Docker Content Trust .

То, что вам нужно сделать, это контролировать разрешение ACR. Чтобы выдвинуть изображение знака в ACR, ему необходимо разрешение AcrImageSigner . Это в дополнение к роли AcrPush (или эквивалентной), необходимой для отправки изображений в реестр. И нет никакой разницы в вытягивании изображения из ACR, чем обычно. Подробнее см. Предоставление разрешений на подпись изображений .