kritis-validation-hook组件是部署可信容器环节中进行容器镜像签名验证的关键组件。通过在部署前对容器镜像进行签名验证可以确保只部署经过可信授权方进行过签名的容器镜像,降低在您的环境中运行意外或恶意代码的风险。本文通过具体示例对kritis-validation-hook组件的工作效果进行介绍。
背景信息
kritis-validation-hook组件在开源的kritis软件的基础上增加了对阿里云容器镜像服务ACR的深度集成,支持验证通过阿里云密钥管理服务KMS进行过签名的容器镜像。kritis-validation-hook组件通过与云安全中心、KMS和ACR的深度合作,实现了全自动化的对容器镜像进行加签和验签,协助您构建更安全的集群运行环境。实现自动验证容器镜像签名,请参见使用kritis-validation-hook组件实现自动验证容器镜像签名。
权限
如果您使用的是托管版集群,为了正常运行kritis-validation-hook组件,需要确保集群使用的Worker RAM角色拥有以下资源访问权限:
cr:ListInstance
cr:ListMetadataOccurrences
如果您的集群使用的Worker RAM角色没有上述访问权限,您可以通过以下方法添加组件所需的资源访问权限。
示例
以下通过对当前default这个namespace启用镜像签名验证为例,展示kritis-validation-hook组件的工作效果。
说明 因为镜像签名不属于kritis-validation-hook组件的工作范畴,所以示例略过签名的步骤。本示例中涉及的签名后的信息如下。
- 使用KMS进行过签名的容器镜像:kritis-demo-registry.cn-hangzhou.cr.aliyuncs.com/kritis-demo/alpine@sha256:ddba4d27a7ffc3f86dd6c2f92041af252a1f23a8e742c90e6e1297bfa1bc0c45。
- 使用的KMS key对应的公钥信息存储在publickey.txt中。
- 使用的KMS key-id:4a2ef103-5aa3-4220-89ee-kms-key-id。
配置镜像验签白名单
kritis-validation-hook组件支持通过配置镜像验签白名单的方式解决中间件或服务网格场景下第三方组件自动注入的sidecar容器的镜像无法通过镜像验签导致Pod无法部署的问题。组件不会对白名单内的镜像进行签名验证,只会验证未在白名单内的镜像。
可以通过定义
admissionallowlists.kritis.grafeas.io
资源的方法来配置镜像验签白名单。CRD资源定义如下:apiVersion: kritis.grafeas.io/v1beta1 # 默认值,无需修改。
kind: AdmissionAllowlist # 默认值,无需修改。
metadata:
name: kritis-allowlist # 资源名,在集群内唯一。
spec:
patterns: # 白名单配置,可以定义多条白名单。
- namePattern: 'registry*.*.aliyuncs.com/acs/*' # 想忽略的镜像名称,具体格式详见下方说明。
- namePattern: 'registry-vpc.cn-beijing.aliyuncs.com/arms-docker-repo/*'
namespace: 'default' # [可选],白名单配置适用于哪个命名空间,未配置时适用于所有命名空间。
若您需要把ACK的系统镜像加入白名单,可以通过下面的操作步骤进行配置。
未来展望
kritis-validation-hook组件在未来可能会同阿里云其他服务一起合作提供不仅限于以下的增强功能。
- 集成不可变镜像tag功能。通过集成不可变镜像tag功能,在对镜像签名进行验证的时候不再需要您必须指定镜像的digest,支持对普通的镜像tag进行验签,提升您的使用体验。(目前最新版本已支持对启用了不可变镜像tag功能的镜像进行签名验证,详见开启镜像版本不可变 )
- 集成镜像漏洞检测功能。不只是验证镜像签名,您同样也可以拒绝部署包含特定级别漏洞的容器镜像,进一步地降低您环境的安全风险。
在文档使用中是否遇到以下问题
更多建议
匿名提交