/tags/signing/ signing Source Themes Academic (https://sourcethemes.com/academic/)zhFri, 13 Dec 2019 10:39:08 +0800 /img/logo-wide.png /tags/signing/ /post/content-trust-with-harbor/ Fri, 13 Dec 2019 10:39:08 +0800 /post/content-trust-with-harbor/ <p>应用上云的过程中，过了部署关和应用改造关之后，安全就是下一个大问题了。对于容器化应用来说，镜像的安全是个非常根本的问题，例如 Harbor 中集成了 Clair 组件，用于对镜像进行漏洞扫描；<a href="https://blog.yamler.io/post/introducing-trivy/" target="_blank">之前介绍的 Trivy</a> 也能够提供对镜像各层进行扫描的能力，类似的工具还有很多。在完成镜像本身的安全保障之后，一方面要把安全构建出来的镜像能够”原汁原味“的提供给运行时进行使用，同时还要对运行时环境进行约束，只允许获取和运行可靠镜像，如此才能够保证镜像供应链的完整。</p> <h2 id="快速上手">快速上手</h2> <p>Harbor 中提供了 <a href="https://github.com/theupdateframework/notary" target="_blank">Notary</a> 服务来提供了这方面的保障，Docker 17.12 之后也提供了对应的运行时支持。</p> <p>这里用 1.10.0 版本的 Harbor 为例，在安装命令中加入参数 <code>--with-notary</code> 就可以启用这个服务了。启动 Harbor 之后，使用 Docker 客户端的终端设置环境变量：<code>export DOCKER_CONTENT_TRUST=1</code>。启用 Docker 的内容信任模式。</p> <p>使用 <code>docker login</code> 命令登录仓库，然后进行镜像推送，例如：</p> <pre><code class="language-shell">$ docker push 10.211.55.27/sign/clare:s1 The push refers to repository [10.211.55.27/sign/clare] bbef02a499c4: Layer already exists ... 47a4bb1cfbc7: Layer already exists s1: digest: sha256:bafc293fd765dbbad5ed3d57d771f0566e5d63a668213f1f61c469cbb199fca6 size: 1162 Signing and pushing trust metadata You are about to create a new root signing key passphrase. This passphrase ... Enter passphrase for new root key with ID b52c1ba: Repeat passphrase for new root key with ID b52c1ba: Enter passphrase for new repository key with ID c37e6d2: Repeat passphrase for new repository key with ID c37e6d2: Error: trust data missing for remote repository 10.211.55.27/sign/clare or remote repository not found: timestamp key trust data unavailable. Has a notary repository been initialized? </code></pre> <p>这里多出了一个初始化过程，在我们照章输入密码之后，发现出了错，这是因为我们没有设置 Notary 服务地址，加入环境变量来解决：<code>export DOCKER_CONTENT_TRUST_SERVER=https://10.211.55.27:4443</code>。</p> <p>再次推送：</p> <pre><code class="language-shell">$ docker push 10.211.55.27/sign/clare:s1 The push refers to repository [10.211.55.27/sign/clare] ... Repeat passphrase for new repository key with ID d6068a9: Finished initializing &quot;10.211.55.27/sign/clare&quot; Successfully signed 10.211.55.27/sign/clare:s1 </code></pre> <p>可以看到，推送已经成功了，并且还有签署成功的反馈。查看一下他的签名信息：</p> <pre><code class="language-shell">$ docker trust inspect 10.211.55.27/sign/clare:s1 [ { &quot;Name&quot;: &quot;10.211.55.27/sign/clare:s1&quot;, &quot;SignedTags&quot;: [ { &quot;SignedTag&quot;: &quot;s1&quot;, &quot;Digest&quot;: &quot;bafc293fd765dbbad5ed3d57d771f0566e5d63a668213f1f61c469cbb199fca6&quot;, &quot;Signers&quot;: [ &quot;Repo Admin&quot; ] } ... </code></pre> <p>如果我们取消 Docker 内容信任：<code>unset DOCKER_CONTENT_TRUST</code>。接下来推送一个新镜像：</p> <pre><code class="language-shell">$ docker push 10.211.55.27/sign/alpine:latest The push refers to repository [10.211.55.27/sign/alpine] 77cae8ab23bf: Pushed </code></pre> <p>再次开启 Docker 内容信任开关：<code>export DOCKER_CONTENT_TRUST=1</code>，尝试拉取：</p> <pre><code class="language-shell">$ docker pull 10.211.55.27/sign/alpine:latest Error: remote trust data does not exist for 10.211.55.27/sign/alpine: 10.211.55.27:4443 does not have trust data for 10.211.55.27/sign/alpine </code></pre> <p>可以看到 Docker 拒绝了未经签署的镜像。</p> <h2 id="幕后">幕后</h2> <p>Docker 包含了简写为 DCT 的内容签名（Docker Content Trust）支持，能够借助 Notary 进行内容签署和校验。首次签署时会要求生成根密钥，每次创建一个新的 Repository 时候，会为其单独生成签署密钥。接下来，每个 Tag 的推送都会进行签署，从而保证内容的稳定性。</p> <h2 id="问题">问题</h2> <ul> <li><p>Kubernetes 能享受到这个么？</p></li> <li><p>托管 Kubernetes 怎么办？</p></li> <li><p>多镜像仓库怎么办？</p></li> </ul>