FEATURE STATE: Kubernetes v1.24 [alpha]
这些说明适用于 Kubernetes 1.24。 如果要检查不同版本 Kubernetes 的组件完整性,请查看该 Kubernetes 版本的文档。
您将需要安装以下工具:
cosign(安装指南) curl(通常由您的操作系统提供)让我们从该列表中选择一个图像并使用 cosign verify 命令验证其签名:
COSIGN_EXPERIMENTAL=1 cosign verify k8s.gcr.io/kube-apiserver-amd64:v1.24.0
Note:COSIGN_EXPERIMENTAL=1 用于允许验证以 KEYLESS 模式签名的图像。 要了解有关无密钥签名的更多信息,请参阅无密钥签名。
要验证所有已签名的控制平面映像,请运行以下命令:
curl -Ls https://sbom.k8s.io/$(curl -Ls https://dl.k8s.io/release/latest.txt)/release | grep 'PackageName: k8s.gcr.io/' | awk '{print $2}' > images.txt
input=images.txt
while IFS= read -r image
do
COSIGN_EXPERIMENTAL=1 cosign verify "$image"
done < "$input" 验证映像后,请按照以下示例在 Pod 清单中通过其摘要指定该映像:registry-url/image-name@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2。
对于非控制平面图像(例如一致性图像),签名也可以在部署时使用联合签名准入控制器进行验证。 要开始共同签名,这里有一些有用的资源:
备案信息: 粤ICP备15087711号-2
Copyright © 2008-2024 啊嘎哇在线工具箱 All Rights.
本站所有资料来源于网络,版权归原作者所有,仅作学习交流使用,如不慎侵犯了您的权利,请联系我们。