Attendibilità del contenuto Docker

  • Articolo

Azure DevOps Services

Docker Content Trust (DCT) consente di usare firme digitali per i dati inviati a e ricevuti dai registri Docker remoti. Queste firme consentono la verifica lato client o runtime dell'integrità e dell'editore di tag di immagine specifici.

Nota

Un prerequisito per la firma di un'immagine è un Registro Docker con un server notario collegato (esempi includono Docker Hub o Registro Azure Container)

Firma delle immagini in Azure Pipelines

Prerequisiti nel computer di sviluppo

  1. Usare il generatore predefinito di Trust Docker o generare manualmente la coppia di chiavi di delega. Se viene usato il generatore predefinito , la chiave privata della delega viene importata nell'archivio attendibilità Docker locale. In caso contrario, la chiave privata deve essere importata manualmente nell'archivio attendibilità Docker locale. Per informazioni dettagliate, vedere Generazione manuale delle chiavi .
  2. Usando la chiave di delega generata dal passaggio precedente, caricare la prima chiave in una delega e avviare il repository

Suggerimento

Per visualizzare l'elenco delle chiavi di delega locale, usare l'interfaccia della riga di comando notaria per eseguire il comando seguente: $ notary key list.

Configurare la pipeline per le immagini di firma

  1. Acquisire la chiave privata della delega, che si trova nell'archivio di attendibilità Docker locale del computer di sviluppo usato in precedenza e aggiungere lo stesso file sicuro in Pipelines.

  2. Autorizzare questo file sicuro per l'uso in tutte le pipeline.

  3. L'entità servizio associata a containerRegistryServiceConnection deve avere il ruolo AcrImageSigner nel Registro contenitori di destinazione.

  4. Creare una pipeline basata sul frammento YAML seguente:

    pool:
  vmImage: 'Ubuntu 16.04'

variables:
  system.debug: true
  containerRegistryServiceConnection: serviceConnectionName
  imageRepository: foobar/content-trust
  tag: test

steps:
- task: Docker@2
  inputs:
    command: login
    containerRegistry: $(containerRegistryServiceConnection)

- task: DownloadSecureFile@1
  name: privateKey
  inputs:
    secureFile: cc8f3c6f998bee63fefaaabc5a2202eab06867b83f491813326481f56a95466f.key
- script: |
    mkdir -p $(DOCKER_CONFIG)/trust/private
    cp $(privateKey.secureFilePath) $(DOCKER_CONFIG)/trust/private

- task: Docker@2
  inputs:
    command: build
    Dockerfile: '**/Dockerfile'
    containerRegistry: $(containerRegistryServiceConnection)
    repository: $(imageRepository)
    tags: |
      $(tag)
    arguments: '--disable-content-trust=false'

- task: Docker@2
  inputs: 
    command: push
    containerRegistry: $(containerRegistryServiceConnection)
    repository: $(imageRepository)
    tags: |
      $(tag)
    arguments: '--disable-content-trust=false'
  env:
    DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE: $(DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE)

    Nell'esempio login precedente la DOCKER_CONFIG variabile viene impostata dal comando nell'attività Docker. È consigliabile configurare DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE come variabile privata per la pipeline. L'approccio alternativo di usare una variabile di pipeline in YAML espone la passphrase in testo normale. DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE in questo esempio si riferisce alla passphrase della chiave privata (non alla passphrase del repository). In questo esempio è necessaria solo la passphrase della chiave privata perché il repository è già stato avviato (prerequisiti).