Docker Notary服务架构

最新推荐文章于 2024-09-11 17:25:42 发布
最新推荐文章于 2024-09-11 17:25:42 发布
阅读量5.7k 收藏
点赞数
分类专栏: # Docker 文章标签: docker 架构 Notary 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41335923/article/details/121702125
版权
Docker Notary服务由Notary服务器和签名者组成,确保元数据的有效性和安全性。客户端与服务端交互,使用JWT令牌进行身份验证。Notary服务器验证并生成元数据,签名者使用加密私钥签名,存储在分离的数据库中。公证服务器作为可信数据集合的源,存储元数据并提供最新版本给客户端。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

架构和组件

Notary 客户端从一个或多个(远程)Notary 服务中提取元数据。一些 Notary 客户端会将元数据推送到一个或多个 Notary 服务。

公证服务由公证服务器 和公证签名者组成,公证服务器存储和更新关联数据库中多个可信集合的签名 TUF 元数据文件,以及公证签名者存储公证服务器的私钥和签名元数据。下图说明了这种架构:
在这里插入图片描述

根、目标和(有时)快照元数据由客户端生成并签名,客户端将元数据上传到公证服务器。服务器负责:

  • 确保任何上传的元数据都是有效的、签名的和自洽的
  • 生成时间戳(有时是快照)元数据
  • 存储并向客户端提供任何受信任集合的最新有效元数据

公证人签字人负责:

  • 将 使用Javascript 对象签名和加密包装 和加密的私有签名密钥存储在 与公证服务器数据库分开的数据库中
  • 每当公证服务器请求时使用这些密钥执行签名操作

Notary 客户端、服务器和签名者之间的交互:

在这里插入图片描述

  1. 公证服务器可选地支持来自使用JWT令牌的客户端的身份验证 。这需要管理访问控制的授权服务器,以及来自该授权服务器的包含用于签署令牌的公钥的证书包。
    如果在 Notary 服务

最低0.47元/天 解锁文章
Docker 镜像签名将如何随着 Notary v2 发展
学海无涯苦作舟的博客
12-17 764
已签名的 Docker 镜像通过让用户检查他们下载的镜像是否真正来自您来增强生态系统的信任和安全性。尽管签名有明显的好处,但 Docker 用户的使用速度很慢,并且默认情况下未启用。 现在,公证人签名系统的新版本试图改变这一点。2019 年 12 月成立了多供应商工作组,以改善图像签名体验并解决原始实施中的一些问题。Notary v2于2021 年 10 月以 alpha形式发布。以下是它如何使签名与现代容器使用模式更加兼容。 什么是NotaryNotaryDocker 于 2015 年开始的.
Notary和Cosign容器镜像签名比较
SHELLCODE_8BIT的博客
04-18 1000
这篇文章是为了帮助减少NotaryV2/Notation和Cosign项目之间的混淆。这是最终用户的一个常见问题,我有一段时间试图避免直接回答。现在 Notation 已经发布了一个 alpha,我认为是时候发布对差异的评估了。 现在的区别在于三个主要部分——签名格式、签名发现和密钥管理。 注意:有一个 Notary-TUF子项目专注于 OCI 注册中心的标准 TUF 实施——这是一个单独的项目,本文档不适用于它。 埃琳娜·莫日维洛(Elena Mozhvilo)在Unsplash上...
dct-notary-admin:管理Docker内容信任和公证证书
04-06
Docker Content Trust-公证人管理员 该API和webapp添加了管理Docker Content Trust和公证证书的功能。 它允许您为Docker存储库创建新的Target证书,以及授权存储库的委托。 这样,可以将证书存储在管理备份的安全环境中。 该项目利用了,该是一个进行中的开发设置,旨在向。 该绝不是硬性的分叉,只是在那里弥合了一段时间以使其回到上游。 API端点 HTTP方法 网址 描述 得到 返回乒乓球 得到 检索所有目标键 邮政 创建一个新的目标和关键 得到 检索单个目标键 得到 检索给定目标的所有委托键 邮政 向给定目标添加新的代表团 删除 从给定的目标中删除一个代表团 先决条件 为了简化开发工作流程,建议安装CMake 。 要与Hashicorp Vault交互,可以使用Vault vault cli 。 平台 安装 网址 视窗
搭建Docker Notary服务
LogicLancer的博客
03-24 700
Notary是一个Docker内容信任的支持系统,它允许发布者签名镜像并且允许消费者验证这些签名。
探索Docker Notary安全的镜像签名与验证工具
Innocence_0的博客
07-14 1381
Docker NotaryDocker生态系统中的重要组件,它构建在Framework)之上,用于确保Docker镜像的安全性和完整性。Notary允许开发者对Docker镜像进行签名,并且让终端用户能够验证这些镜像未经篡改。这样,用户就可以信任他们拉取并运行的镜像是来自预期的源头,且未被第三方恶意修改。DockerNotary容器安全带来了重要的提升,无论是对于开发者还是用户,都是值得信赖的工具。
Docker 生产环境之使用可信镜像 - 用 compose 部署 Notary 服务器
kikajack的博客
03-18 1416
原文地址部署 Notary 服务器的最简单方法是使用 Docker Compose。要按照此页面上的过程,你必须已经安装了 Docker Compose。Clone Notary 仓库git clone git@github.com:docker/notary.git用简单证书构建并启动 Notary 服务器docker-compose up -d有关如何部署 Notary 服务器的详细文档,请参阅
Docker私库Harbor架构详解与组件功能深度解析
NotaryDocker的一个安全服务,用于验证镜像的来源和完整性。Harbor整合了Notary,确保只有经过签名的镜像才能被上传和分发。 5. **Clair**(可选): Clair是Harbor中的一个插件,用于检测镜像中的安全漏洞。它...
服务架构师-docker私有镜像仓库的配置和使用
xueshenlaila的博客
08-17 3721
文章目录docker私有化仓库介绍私有仓库介绍私有镜像仓库有哪些有优点?实验环境规划使用registry搭建docker私有仓库初始化实验环境-安装docker开启包转发功能和修改内核参数配置xuegod64为docker私有仓库服务端配置xuegod63上的docker使用xuegod64上的私有仓库实战-上传本地镜像到私有仓库实战:使用 harbor 搭建Docker私有仓库为harbor签发证书安装harborharbor 图像化界面使用说明在xuegod63上测试使用xuegod64的harbor镜
Docker高级管理--Compose容器编排与私有仓库(Docker技术集群与应用)
最新发布
2401_85084312的博客
09-11 1533
Swarm 集群管理Docker Compose 概述先检查当前环境中是否有compose;如果发现没有,将以下包,拉取到指定的位置即可;然后给这个文件一个执行权;再次查看就可以了;然后快速部署本次实验环境所需的镜像;执行导入脚本即可将该目录下的所有镜像导入到系统中;检查一下:写一个简单点的compose文件;注意文件名和后缀名必须和图中一样;注意:yaml语言格式及其严格,注意空格,不能多,不能少。在使用compose的时候,确保在该文件的目录下输入;查看创建的容器
Docker Notary 项目教程
gitblog_00034的博客
08-07 458
Docker Notary 项目教程 notary项目地址:https://gitcode.com/gh_mirrors/notary1/notary 1. 项目的目录结构及介绍 Docker Notary 项目的目录结构如下: notary/ ├── cmd/ │ ├── notary/ │ └── notary-server/ ├── contrib/ ├── docs/ ├── p...
Docker Notary 官方教程
gitblog_00958的博客
08-07 475
Docker Notary 官方教程 notary项目地址:https://gitcode.com/gh_mirrors/notary1/notary 1. 项目介绍 Docker Notary 是一个用于创建和管理数字签名服务的开源工具,主要用于验证 Docker 镜像的安全性。它提供了透明度和信任,确保从仓库下载的镜像是由预期的发布者签署并且未被篡改。Notary 通过 TUF(The Up...
TUF & Notary
m0_73803866的博客
10-13 458
NeuVecor 支持各种安全审计功能。当服务与 OPA集成后,用户将能够 制定和部署自定义的策略,以控制服务的基于策略的功能,如下图所示。当服务与 OPA集成后,用户将能够 制定和部署自定义的策略,以控制服务的基于策略的功能,如下图所示。综合分析后提供实时的容器网 络连接图,强大的容器可化可以用于安全监控、拓扑分析、即时调整、事件响应、容器网络抓包甚至应用容器 调试等。综合分析后提供实时的容器网 络连接图,强大的容器可化可以用于安全监控、拓扑分析、即时调整、事件响应、容器网络抓包甚至应用容器 调试等。
镜像签名安全研究
SHELLCODE_8BIT的博客
04-26 1456
在 Kubernetes 上使用策略对部署行为进行限制,仅允许运行有签名的镜像。 我们希望借助本文,让读者了解到如何在 Kubernetes 中使用可信镜像,其中依赖两个著名的 CNCF 开源项目:Notary 和 OPA。主要思路是使用 OPA 策略来定义自己的内容限制策略。 主要内容如下: 完成示例的先决条件 Notary 和镜像信任的基本概念 在 Kubernetes 上安装 Kubernetes OPA 和 Admission Control 的基本概念 在 Kubernetes .
docker遇到的问题解决方案
weixin_40857858的博客
08-01 1430
1、docker search命令报错 报错信息: Error response from daemon: Get https://index.docker.io/v1/search?q=mysql&n=25: dial tcp: lookup index.docker.io on [::1]:53: read udp [::1]:42020->[::1]:53: read: connection refuse 解决方案: 参考地址:https://www.cnblogs.com/Dyla
Docker容器: 那些你不知道的事
Hardy
02-12 7579
先说说我们知道的事,Docker 是 PaaS 提供商 DotCloud 开源的一个高级容器引擎,源代码托管在 Github 上,基于go语言并遵从Apache2.0协议开源。Docker相当于物理行业的集装箱对物流的影响一样,成为Container上运行镜象的统一打包和交换的标准,Docker介绍请参看文章容器演进和技术基础介绍。
Docker-----Harbor私有仓库介绍+实验
m0_50854537的博客
03-16 5397
前言 Habor是由VMWare公司开源的容器镜像仓库。事实上,Habor是在Docker Registry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制 ,AD/LDAP集成以及审计日志等,足以满足基本企业需求。 官方地址:https://vmware.github.io/harbor/cn/ 一、Harbor简介 harbor是vmware开源的企业级registry,可以让你迅速的搭建自己的私有registry,harbor扩展
Docker 生产环境之使用可信镜像 - 内容信任(content trust)的委派 delegation
kikajack的博客
03-18 1179
原文地址Docker Engine 支持使用 targets/releases delegation (委托,授权)作为可信镜像标记的规范来源。使用此 delegation 可让你与其他发布者协作,而不共享你仓库密钥,这是你的 targets 和 snapshot 密钥的组合。有关更多信息,请参阅 管理内容信任的密钥。合作者可以保留自己的 delegation 密钥。targets/releases
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值