Поделиться через


Доверие к содержимому Docker

Azure DevOps Services

Docker Content Trust (DCT) позволяет использовать цифровые подписи для данных, отправляемых и полученных из удаленных реестров Docker. Эти сигнатуры позволяют выполнять проверку целостности и издателя определенных тегов изображений на стороне клиента или среды выполнения.

Примечание

Необходимым условием для подписи образа является реестр Docker с подключенным сервером нотариа (например, Docker Hub или Реестр контейнеров Azure).

Подписывание образов в Azure Pipelines

Предварительные требования на компьютере разработки

  1. Используйте встроенный генератор Docker Trust или создайте пару ключей делегирования вручную. Если используется встроенный генератор , закрытый ключ делегирования импортируется в локальное хранилище доверия Docker. В противном случае закрытый ключ потребуется импортировать вручную в локальное хранилище доверия Docker. Дополнительные сведения см. в разделе Создание ключей вручную .
  2. Используя ключ делегирования, созданный на предыдущем шаге, отправьте первый ключ в делегирование и запустите репозиторий.

Совет

Чтобы просмотреть список ключей локального делегирования, выполните следующую команду с помощью интерфейса командной строки Notary: $ notary key list.

Настройка конвейера для подписывания образов

  1. Получите закрытый ключ делегирования, который находится в локальном хранилище доверия Docker на компьютере разработки, который использовался ранее, и добавьте такой же, как безопасный файл в Pipelines.

  2. Авторизуйте этот безопасный файл для использования во всех конвейерах.

  3. Субъект-служба, связанный с containerRegistryServiceConnection , должен иметь роль AcrImageSigner в целевом реестре контейнеров.

  4. Создайте конвейер на основе следующего фрагмента YAML:

    pool:
      vmImage: 'Ubuntu 16.04'
    
    variables:
      system.debug: true
      containerRegistryServiceConnection: serviceConnectionName
      imageRepository: foobar/content-trust
      tag: test
    
    steps:
    - task: Docker@2
      inputs:
        command: login
        containerRegistry: $(containerRegistryServiceConnection)
    
    - task: DownloadSecureFile@1
      name: privateKey
      inputs:
        secureFile: cc8f3c6f998bee63fefaaabc5a2202eab06867b83f491813326481f56a95466f.key
    - script: |
        mkdir -p $(DOCKER_CONFIG)/trust/private
        cp $(privateKey.secureFilePath) $(DOCKER_CONFIG)/trust/private
    
    - task: Docker@2
      inputs:
        command: build
        Dockerfile: '**/Dockerfile'
        containerRegistry: $(containerRegistryServiceConnection)
        repository: $(imageRepository)
        tags: |
          $(tag)
        arguments: '--disable-content-trust=false'
    
    - task: Docker@2
      inputs: 
        command: push
        containerRegistry: $(containerRegistryServiceConnection)
        repository: $(imageRepository)
        tags: |
          $(tag)
        arguments: '--disable-content-trust=false'
      env:
        DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE: $(DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE)
    

    В предыдущем примере DOCKER_CONFIG переменная задается с помощью login команды в задаче Docker. Рекомендуется DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE настроить в качестве секретной переменной для конвейера. Альтернативный подход к использованию переменной конвейера в YAML предоставляет парольную фразу в виде обычного текста. DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE В этом примере ссылается на парольную фразу закрытого ключа (а не парольную фразу репозитория). В этом примере нам нужна только парольная фраза закрытого ключа, так как репозиторий уже инициирован (предварительные требования).