译者 | 布加迪
审校 | 孙淑娟
在跨联网系统交换数据时,信任是一个关键问题。在通过像互联网这样不可靠的媒介进行交互时,为系统依赖的所有数据的发布者确保完整性尤为重要。需要强大的加密保证来保护数据,这时候Docker Content Trust(DCT)有了用武之地。
Docker(DCT)就基础架构中使用的软件类型和版本提供了强大的加密保证。Docker Content Trust随Docker版本1.8一同发布。
Docker Content Trust添加的安全措施可以检查容器镜像、存放应用程序组件的容器文件以及保存在Docker Hub等注册中心的内容的一致性。
借助注册中心,Docker Content Trust解决了两个问题:
- 从远程存储库下载容器镜像的用户可能会上传含有恶意软件的镜像,但无法验证其完整性。
- 其次,用户可能会将过期的容器上传到注册中心,这可能影响公司的互操作性、兼容性或性能。
DCT是如何运作的?
Docker Content Trust非常简单。Docker Content Trust基于Docker Notary工具来发布和管理可信任内容和更新框架(TUF),后者是一种确保软件更新系统安全的框架。Notary项目提供了客户机/服务器基础,用于建立信任,以验证和处理内容集合。
用户可以安全地获得发布者的公钥,然后使用公钥来验证内容。Notary依赖TUF进行安全的软件分发和更新操作。
Docker Content Trust密钥:
镜像标签的信任是通过使用签名密钥来管理的。DCT与镜像的TAG(标记)部分相关联。当DCT操作初次使用时,会生成一个密钥集。
以下密钥类组成一个密钥集:
- 离线密钥,对镜像标记而言它是DCT的根。
- 存储库或对标记签名的标签密钥
- 服务器管理的密钥,比如时间戳密钥,用于确保存储库的新鲜度安全。
镜像标记的信任是通过使用签名密钥来管理的。DCT在Docker客户端中默认不启用。必须遵循以下步骤来设置DCT。
要想启用DCT,在您的Linux docker节点上发出以下命令:
$exportDOCKER_CONTENT_TRUST=1
DOCKER_CONTENT_TRUST=0fordisablingDCT。
启用Docker Content Trust的步骤:
- 生成密钥
- 将Signer添加到Docker存储库中
- 对镜像签名
为了举例说明,我将使用Docker中心来执行启用Docker Content Trust的步骤。
第1步:登录到Docker Hub。
dev@srini:~$dockerlogin
Username: srinukolaparthi
Password: ******
LoginSucceeded
第2步:生成信任密钥。可信任密钥基本上建立了您的用户身份,并授予您对存储库镜像的访问权。
Dockertrustkeygenerate<signername>
dev@raghu:~$dockertrustkeygeneratesrinidev
Generatingkeyforsrinidev...
EnterpassphrasefornewsrinidevkeywithID5259740:
RepeatpassphrasefornewsrinidevkeywithID5259740:
Successfullygeneratedandloadedprivatekey. Correspondingpublickeyavailable: /Users/docker/srinidev.pub
第3步:将签名者添加到Docker存储库中。
docker–key<keyfile><username><repo>
dev@srini:~$dockertrustsigneradd--keysrinidev.pubsrinidevsrinidev/springboot-test
Addingsigner"srinidev"tosrinidev/springboot...
Initializingsignedrepositoryforsrinidev/springboot...
Youareabouttocreateanewrootsigningkeypassphrase. Thispassphrase
willbeusedtoprotectthemostsensitivekeyinyoursigningsystem. Please
choosealong, complexpassphraseandbecarefultokeepthepasswordandthe
keyfileitselfsecureandbackedup. Itishighlyrecommendedthatyouusea
passwordmanagertogeneratethepassphraseandkeepitsafe. Therewillbeno
waytorecoverthiskey. Youcanfindthekeyinyourconfigdirectory.
EnterpassphrasefornewrootkeywithID443ffc9:
RepeatpassphrasefornewrootkeywithID443ffc9:
EnterpassphrasefornewrepositorykeywithIDd6ef6dd:
RepeatpassphrasefornewrepositorykeywithIDd6ef6dd:
Successfullyinitialized"srinidev/springboot"
Successfullyaddedsigner: srinidevtosrinidev/springboot
第4步:
dev@srini:~$dockerbuild-tsrinidev/springboot:unsigned
SendingbuildcontexttoDockerdaemon3.072kB
Step1/2 : FROMbusybox:latest
latest: Pullingfromlibrary/busybox
05669b0daf1fb: Pullcomplete
Digest: sha256:e26cd013274a657b86e706210ddd5cc1f82f50155791199d29b9e86e935ce135
Status: Downloadednewerimageforbusybox:latest
--->93aa35aa1c79
Step2/2 : CMDHellothisisbusybox!
--->Runninging8ea53541c3f
Removingintermediatecontainerk8ea53541c3f
--->827bac2bb535
Successfullybuilt827bac2bb535
Successfullytaggedsrinidev/springboot:unsigned
第5步:将镜像推送到Docker存储库。
dev@srini:~$dockerpushsrinidev/springboot:unsigned
第6步:执行命令:$ export DOCKER_CONTENT_TRUST=1
第7步:运行Docker镜像,检查Docker Content Trust是否有效。
dev@srini:~$dockerrunsrinidev/springboot:unsigned
docker: Novalidtrustdataforunsigned.
See'docker run --help'.
由于镜像未签名,也没有提供签名数据,因此无法启动它,因为启用了Docker Content Trust。所以很明显,如果启用了DCT,它将允许用户在您的系统上拉取/运行镜像。
第8步:现在不妨测试和构建新的签名镜像。
dev@srini:~$dockerbuild-tsrinidev/springboot:signed
第9步:使用以下命令对Docker镜像进行签名。
dev@srini:~$dockertrustsignsrinidev/springboot:signed
Signingandpushingtrustdataforlocalimagesrinidev/springboot:signed,
mayoverwriteremotetrustdata
Thepushreferstorepository [docker.io/srinidev/springboot:signed]
a6d503001157: Layeralreadyexists
signed: digest:
sha256:e8d2db0f9cc124273e5f3bbbd2006bf2f3629953983df859e3aa8092134fa373size: 567
Signingandpushingtrustmetadata
EnterpassphraseforsrinidevkeywithID5239740:
Successfullysigneddocker.io/srinidev/springboot:signed
DTS命令将生成签名,并将签名数据和镜像本身推送到Docker注册中心。基本上,它对镜像进行签名,还执行Docker推送。
第10步:运行新的Docker签名镜像。
dev@srini:~$dockerrunsrinidev/springboot:signed
结语
如果上述步骤很成功,表明Docker Content Trust奏效。要使用带有签名和认证镜像的远程存储库,用户必须启用选择加入的Docker Content Trust功能。
原文标题:How to Secure Containers Using Docker Content Trust,作者:Srinivas Kolaparthi
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/146715.html<
