如何使用 Podman 签署和分发容器镜像

最新推荐文章于 2024-09-19 15:25:16 发布
最新推荐文章于 2024-09-19 15:25:16 发布
阅读量481 收藏 1
点赞数
文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_53765226/article/details/126362740
版权
本文介绍了如何使用 Podman 对容器镜像进行 GPG 签名,以确保安全性和防止中间人攻击。通过创建 GPG 密钥对,签名并推送到远程注册表,然后配置系统以验证签名,从而实现镜像签名的完整流程。同时,文章还提到了在 Kubernetes 环境中应用此签名机制的可能性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

签署容器镜像的动机是只信任专门的镜像提供者以减轻中间人 (MITM) 攻击或对容器注册表的攻击。签署图像的一种方法是使用 GNU Privacy Guard ( GPG ) 密钥。这种技术通常与任何符合 OCI 的容器注册表兼容,例如Quay.io。值得一提的是,OpenShift 集成容器注册表开箱即用地支持这种签名机制,这使得单独的签名存储变得不必要。

从技术角度来看,我们可以利用 Podman 对镜像进行签名,然后再将其推送到远程注册表。之后,所有运行 Podman 的系统都必须配置为从远程服务器检索签名,远程服务器可以是任何简单的 Web 服务器。这意味着在图像拉取操作期间,每个未签名的图像都将被拒绝。但这是如何工作的?

首先,我们必须创建一个 GPG 密钥对或选择一个已经在本地可用的密钥对。要生成新的 GPG 密钥,只需运行gpg --full-gen-key并按照交互式对话框操作。现在我们应该能够验证密钥在本地是否存在:

> gpg --list-keys sgrunert@suse.com pub rsa2048 2018-11-26 [SC] [expires: 2020-11-25] XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX uid [ultimate] Sascha Grunert <sgrunert@suse.com> sub rsa2048 2018-11-26 [E] [expires: 2020-11-25]

现在让我们假设我们运行一个容器注册表。例如,我们可以简单地在本地机器上启动一个:

sudo podman run -d -p 5000:5000 docker.io/registry

[root@localhost ~]# podman run -d -p 5000:5000 docker.io/registry
Trying to pull docker.io/library/registry:latest...
Getting image source signatures
Copying blob 5299e6f78605 skipped: already exists  
Copying blob 213ec9aee27d skipped: already exists  
Copying blob 44c4c74a95e4 done  
Copying blob 4c2fb79b7ce6 done  
Copying blob 74a97d2d84d9 done  
Copying config 3a0f7b0a13 done  
Writing manifest to image destination
Storing signatures
ddfb8e13c6abe86269371114ed12f79961d69c393e5a8c9e779b60af24696cf6
[root@localhost ~]#

注册表对镜像签名一无所知,它只是为容器镜像提供远程存储。这意味着如果我们想要对图像进行签名,我们必须注意如何分发签名。

alpine让我们为我们的签名实验选择一个标准图像:

[root@localhost ~]# podman pull docker://docker.io/alpine:latest
Trying to pull docker.io/library/alpine:latest...
Getting image source signatures
Copying blob 213ec9aee27d skipped: already exists  
Copying config 9c6f072447 done  
Writing manifest to image destination
Storing signatures
9c6f0724472873bb50a2ae67a9e7adcb57673a183cea8b06eb778dca859181b5
[root@localhost ~]# 


[root@localhost ~]#  podman images alpine
REPOSITORY                TAG         IMAGE ID      CREATED     SIZE
docker.io/library/alpine  latest      9c6f07244728  6 days ago  5.83 MB
[root@localhost ~]#

现在我们可以重新标记图像以将其指向我们的本地注册表:

[root@localhost ~]# podman tag alpine localhost:5000/alpine

[root@localhost ~]#  podman images alpine
REPOSITORY                TAG         IMAGE ID      CREATED     SIZE
docker.io/library/alpine  latest
最低0.47元/天 解锁文章
Podman修改镜像源教程(附最新docker镜像源)
道长的博客
09-05 2814
Podman修改镜像源教程(附最新docker镜像源)
使用Podman 签名分发容器镜像并推送到harbor仓库中
weixin_56774628的博客
08-16 746
使用Podman 签名分发容器镜像并推送到harbor仓库中
Podman 保姆级使用教程,太顶了!
云原生实验室
02-28 8384
作者:华龙飞。主要负责 Red Hat 产品与技术栈的培训交付,客户主要涉及金融、通信、汽车、医疗等行业。热爱并研究开源技术,熟悉 RHEL 各版本,SuSE Linux 各版本,热衷研究...
Podman入门全指南:安装、配置与运行容器
todoitbo的博客
04-28 2万+
本文将深入浅出地介绍Podman的搭建与基础使用方法,目标是帮助读者理解Podman作为一种容器管理工具与Docker的不同之处,并教会读者如何从安装到运行自己的容器应用。全文将详细讲解Podman的安装过程,配置步骤,以及如何通过命令行管理运行容器。此外,文章还将探讨Podman的一些高级特性,如构建容器镜像、网络配置资源限制,以使读者能够充分利用Podman在开发生产环境中的潜力。
Podman使用详解
justlpf的专栏
02-27 7610
防火墙的作用不会影响网络的设置配置,但会影响这些网络上的流量。UID / GID 1是第一个UID / GID在用户在地图中指定/etc/subuid/etc/subgid等,如果你安装来自主机的目录放入容器中作为一个无根的用户,并在容器中创建该目录中的文件作为根,你会看到它实际上由您的用户在主机上拥有。相反,Podman 使用用户命名空间来移动它在主机上(通过newuidmapnewgidmap可执行文件)您自己的用户在 Podman 创建的容器中有权访问的用户块的 UID GID。
podman详细指南【含命令结果】
zhfb9的博客
09-19 2313
容器— — — 一种轻量化操作系统,他与虚拟化技术不同,虚拟化是在物理机上虚拟出一个完整的主机,包括cpu,硬盘,网卡等等,但容器,他在拥有虚拟化技术的灵活性的同时,还避免了虚拟化技术的缺点:沉重的负载。随着容器的不断发展,市场上出现了由Red Hat 推出了podman容器技术。podman【pod管理器】是一种用户管理容器映像、安装到这些容器中的卷以及由容器组成的pod工具。通俗来讲,podman就是一个管理工具。podman是一个无守护进程的容器引擎,而这,也是与docker最大的不同。
Podman 入门指南
爱死亡机器人
11-29 3332
什么是podman Podman是一个无守护进程的开源 Linux 原生工具,旨在使用开放容器倡议 ( OCI )容器容器映像轻松查找、运行、构建、共享部署应用程序。Podman 提供了任何使用Docker容器引擎的人都熟悉的命令行界面 (CLI) 。大多数用户可以简单地将 Docker 别名为 Podman(别名 docker=podman),没有任何问题,不同的是 Podman 没有 daemon。以前使用 Docker CLI 的时候,Docker CLI 会通过 gRPC API 去跟 Do
podman进阶
馆主的博客
08-16 784
podman的进阶用法
podman基础教程
qq_45211528的博客
08-16 1391
podman基础教程
Podman 安装与使用教程
gitblog_00688的博客
08-07 1034
Podman 安装与使用教程 podmanPodman: A tool for managing OCI containers and pods.项目地址:https://gitcode.com/gh_mirrors/po/podman 1. 项目目录结构及介绍 在 Podman 的源代码仓库中,目录结构是组织其功能的核心部分。以下是一般目录结构的概述: bin: 包含可执行文件,如 podm...
podman快速入门详解与实践
小啊宇的博客
03-26 8563
podman简介 Podman 原来是 CRI-O 项目的一部分,后来被分离成一个单独的项目叫 libpod。Podman使用体验 Docker 类似,不同的是 Podman 没有 daemon。以前使用 Docker CLI 的时候,Docker CLI 会通过 gRPC API 去跟 Docker Engine 说「我要启动一个容器」,然后 Docker Engine 才会通过 OCI Container runtime(默认是 runc)来启动一个容器。这就意味着容器的进程不可能是 Docker
Podman一篇就学会
皮卡丘多多的博客
12-15 2万+
Podman入门 什么是podman? Podman是一种无守护进程、开源的 Linux 原生工具,旨在使用开放容器倡议 ( OCI )容器容器映像轻松查找、运行、构建、共享部署应用程序。Podman 提供了任何使用Docker容器引擎的人都熟悉的命令行界面 (CLI) 。大多数用户可以简单地将 Docker 别名为 Podman(别名 docker=podman),没有任何问题。与其他常见的容器引擎(Docker、CRI-O、containerd)类似,Podman 依赖于符合 OCI 的容器运行
Docker 大势已去,Podman 万岁
热门推荐
云原生实验室
10-17 10万+
前言郑重声明:本文不是 Podman 的入门篇,入门请阅读这篇文章:再见 Docker,是时候拥抱下一代容器工具了Podman 原来是 CRI-O 项目的一部分,后来被分...
Podman AI Lab 使用教程
gitblog_00675的博客
09-14 690
Podman AI Lab 使用教程 podman-desktop-extension-ai-lab Work with LLMs on a local environment using containers 项目地址: htt...
Podman使用指南
10-19 429
安装 yum install -y podman 配置加速镜像 cp /etc/containers/registries.conf{,.bak} 编辑registries.conf文件 vim /etc/containers/registries.conf 在末尾添加以下行,把上面的内容都注悉掉 unqualified-search-registries = ["docker.io"] [[registry]] prefix = "docker.io" location = "xxxx
podman使用
weixin_72898433的博客
08-15 931
podman使用
Podman使用
qq_68054650的博客
05-10 1363
什么是PodmanPodman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。 Podman 可以管理运行任何符合 OCI(Open Container Initiative)规范的容器容器镜像Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。 Podman 官网地址:https://po
Podman Desktop Companion 使用教程
gitblog_00101的博客
09-14 416
Podman Desktop Companion 使用教程 podman-desktop-companion Podman desktop companion 项目地址: https://gitcode.com/gh_mirror...
Podman macOS 项目使用教程
gitblog_00833的博客
08-20 543
Podman macOS 项目使用教程 podman-macos???? Podman frontend for macOS项目地址:https://gitcode.com/gh_mirrors/po/podman-macos 1. 项目的目录结构及介绍 Podman macOS 项目的目录结构如下: podman-macos/ ├── .github/ │ └── workflows/ ├──...
如何使用Dragonfly进行高效的容器镜像分发,并确保分发过程的安全性?
最新发布
11-25
对于想要实现高效容器镜像分发的开发者来说,Dragonfly提供了一种利用P2P技术CDN策略的解决方案。首先,需要理解Dragonfly的工作原理它的核心组件,包括Super NodeScheduler,以及它们如何协同工作以实现高效安全的分发。 参考资源链接:[云原生Dragonfly实践:高效容器镜像与IoT分发](https://wenku.youkuaiyun.com/doc/8447rm79y3?spm=1055.2569.3001.10343) 在部署Dragonfly之前,建议先了解它的配置文件运行环境要求,这可以在《云原生Dragonfly实践:高效容器镜像与IoT分发》中找到详细介绍。根据文档,创建Dragonfly的配置文件时,需要正确设置P2PCDN相关参数,以优化分发效率节省带宽资源。同时,为了保证安全性,确保配置文件中指定了正确的加密方式限速策略。 部署Dragonfly的组件后,通过设置环境变量,使Docker客户端能够通过Dragonfly进行镜像的拉取。在实际操作中,当使用docker pull命令时,Docker会通过Dragonfly的Scheduler节点来获取镜像,从而利用P2P网络进行高效的数据传输。同时,Dragonfly支持HTTPS私有镜像仓库,确保了在镜像传输过程中的安全性。 此外,Dragonfly的监控日志系统能够帮助开发者监控分发过程,确保网络的稳定性,并在出现问题时快速定位。开发者可以通过Dragonfly的Web界面查看实时的网络状态,以及通过日志分析工具对分发过程中的问题进行诊断优化。 如果你在实践过程中遇到任何问题,可以通过访问Dragonfly在GitHub上的项目页面查找文档或在钉钉群中参与社区讨论。有了这些工具资源,开发者可以更好地掌握如何利用Dragonfly进行高效的容器镜像分发,并确保整个过程的安全性。 参考资源链接:[云原生Dragonfly实践:高效容器镜像与IoT分发](https://wenku.youkuaiyun.com/doc/8447rm79y3?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值