本文介绍如何使用容器镜像服务ACR(Container Registry)、密钥管理服务KMS(Key Management Service)、云安全中心(Security Center)和kritis-validation-hook组件实现自动验证容器镜像签名,确保只部署可信授权方签名的容器镜像,降低在您环境中发生意外或恶意代码的风险。
步骤一:安装kritis-validation-hook组件
步骤二:创建用于容器镜像签名的KMS密钥
- 登录密钥管理服务控制台。
- 在密钥列表中,单击创建密钥。
- 在弹出的创建密钥对话框,填写别名和描述。
注意 选择密钥类型为RSA_2048;选择密钥用途为SIGN/VERIFY。
- 单击高级选项,选择密钥材料来源。
- 阿里云KMS:密钥材料将由KMS生成。
- 外部:KMS将不会生成密钥材料,您需要将自己的密钥材料导入KMS,详情请参见导入密钥材料。
说明 此时需要选中我了解使用外部密钥材料的方法和意义复选框。
- 单击确认。
步骤三:在云安全中心配置使用KMS密钥的证明者
步骤四:在ACR中开启容器镜像自动加签功能
步骤五:在云安全中心启用容器镜像验签功能
通过在云安全中心添加和启用策略的方式来为Kubernetes集群中某个命名空间启用容器镜像验签功能。
步骤六:验证容器镜像自动验签功能
说明 目前只支持使用digest格式的镜像。
执行以下命令验证容器镜像自动验签功能:
- 已开启验签功能的Default命名空间将拒绝部署使用未加签的容器镜像服务。
使用Tag格式镜像的命令如下:
kubectl -n default create deployment not-sign --image=alpine:3.11 -- sleep 10
Error from server: admission webhook "kritis-validation-hook-deployments.grafeas.io" denied the request: image alpine:3.11 is not attested
使用Digest格式镜像的命令如下:kubectl -n default create deployment not-sign --image=alpine@sha256:ddba4d27a7ffc3f86dd6c2f92041af252a1f23a8e742c90e6e1297bfa1bc0c45 -- sleep 10
Error from server: admission webhook "kritis-validation-hook-deployments.grafeas.io" denied the request: image alpine@sha256:ddba4d27a7ffc3f86dd6c2f92041af252a1f23a8e742c90e6e1297bfa1bc0c45 is not attested
- 向已开启自动加签功能的容器镜像服务命名空间中推送一个镜像,然后验证可以使用这个加签的容器镜像部署服务。
docker push kritis-demo-registry-vpc.cn-hongkong.cr.aliyuncs.com/kritis-demo/alpine:3.11
The push refers to repository [kritis-demo-registry-vpc.cn-hongkong.cr.aliyuncs.com/kritis-demo/alpine] 5216338b40a7: Pushed 3.11: digest: sha256:ddba4d27a7ffc3f86dd6c2f92041af252a1f23a8e742c90e6e1297bfa1bc0c45 size: 528
放行已自动加签容器镜像的命令如下:kubectl -n default create deployment is-signed --image=kritis-demo-registry-vpc.cn-hongkong.cr.aliyuncs.com/kritis-demo/alpine@sha256:ddba4d27a7ffc3f86dd6c2f92041af252a1f23a8e742c90e6e1297bfa1bc0c45 -- sleep 10
deployment.apps/is-signed created