Partilhar via


Confiança de Conteúdo do Docker

Azure DevOps Services

O Docker Content Trust (DCT) permite-lhe utilizar assinaturas digitais para dados enviados e recebidos de registos remotos do Docker. Estas assinaturas permitem a verificação do lado do cliente ou do runtime da integridade e do publicador de etiquetas de imagem específicas.

Nota

Um pré-requisito para assinar uma imagem é um Registo do Docker com um servidor notário anexado (os exemplos incluem Docker Hub ou Azure Container Registry)

Assinar imagens nos Pipelines do Azure

Pré-requisitos no computador de desenvolvimento

  1. Utilize o gerador incorporado do Docker Trust ou gere manualmente o par de chaves de delegação. Se o gerador incorporado for utilizado, a chave privada de delegação é importada para o arquivo de fidedignidade do Docker local. Caso contrário, a chave privada terá de ser importada manualmente para o arquivo de fidedignidade do Docker local. Veja Manualmente Gerar Chaves para obter detalhes.
  2. Com a chave de delegação gerada a partir do passo acima, carregue a primeira chave para uma delegação e inicie o repositório

Dica

Para ver a lista de chaves de Delegação local, utilize a CLI do Notary para executar o seguinte comando: $ notary key list.

Configurar o pipeline para assinar imagens

  1. Pegue na chave privada de delegação, que se encontra no arquivo de confiança local do Docker do seu computador de desenvolvimento utilizado anteriormente, e adicione o mesmo que um ficheiro seguro em Pipelines.

  2. Autorize este ficheiro seguro para utilização em todos os pipelines.

  3. O principal de serviço associado containerRegistryServiceConnection tem de ter a função AcrImageSigner no registo de contentor de destino.

  4. Crie um pipeline com base no seguinte fragmento YAML:

    pool:
      vmImage: 'Ubuntu 16.04'
    
    variables:
      system.debug: true
      containerRegistryServiceConnection: serviceConnectionName
      imageRepository: foobar/content-trust
      tag: test
    
    steps:
    - task: Docker@2
      inputs:
        command: login
        containerRegistry: $(containerRegistryServiceConnection)
    
    - task: DownloadSecureFile@1
      name: privateKey
      inputs:
        secureFile: cc8f3c6f998bee63fefaaabc5a2202eab06867b83f491813326481f56a95466f.key
    - script: |
        mkdir -p $(DOCKER_CONFIG)/trust/private
        cp $(privateKey.secureFilePath) $(DOCKER_CONFIG)/trust/private
    
    - task: Docker@2
      inputs:
        command: build
        Dockerfile: '**/Dockerfile'
        containerRegistry: $(containerRegistryServiceConnection)
        repository: $(imageRepository)
        tags: |
          $(tag)
        arguments: '--disable-content-trust=false'
    
    - task: Docker@2
      inputs: 
        command: push
        containerRegistry: $(containerRegistryServiceConnection)
        repository: $(imageRepository)
        tags: |
          $(tag)
        arguments: '--disable-content-trust=false'
      env:
        DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE: $(DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE)
    

    No exemplo anterior, a DOCKER_CONFIG variável é definida pelo login comando na tarefa do Docker. Recomendamos que configure DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE como uma variável secreta para o pipeline. A abordagem alternativa da utilização de uma variável de pipeline no YAML expõe a frase de acesso em texto simples. DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE neste exemplo, refere-se à frase de acesso da chave privada (não à frase de acesso do repositório). Neste exemplo, só precisamos da frase de acesso da chave privada porque o repositório já foi iniciado (pré-requisitos).