【云原生安全篇】Notation助力Harbor镜像验证实践_镜像签名工具cosign、notary

【云原生安全篇】Notation助力Harbor镜像验证实践

目录

• 1 引言
• 2 概念
  • 2.1 什么是Notary 项目
    • Notary 主要特点：
    • Notary 的挑战：
  • 2.2 什么是 Notation？
    • Notation 主要特点：
    • Notary 和 Notation 的关系
  • 2.3 为什么要将 Notation 与 Harbor 结合使用？
• 3 实践： Notation 为Harbor的镜像签名
  • 3.1 环境准备
  • 3.2 使用 Notation 对镜像进行签名
    • 3.2.1 5.1 生成密钥对
    • 3.2.2 添加自签名CA到系统认可CA库
    • 3.2.3 签名镜像
    • 3.2.4 使用镜像摘要作为tag名称
  • 3.3 在 Harbor 中验证镜像签名
    • 3.3.1 拉取镜像
    • 3.3.2 创建信任策略
    • 3.3.3 验证签名
  • 3.4 Harbor 中配置签名策略
    • 3.4.1 尝试拉取未签名的镜像
• 4 集成到 DevOps 流水线
• 5 总结
• 6 参考文献

❤️摘要： 随着容器化技术的普及，容器镜像的安全性愈发成为企业关注的焦点。Harbor 作为一款开源的企业级镜像仓库管理工具，通过提供多种安全功能来帮助企业管理容器镜像的生命周期。而 Notation 则是一个用于容器镜像签名的工具，能够为镜像提供加密签名，以确保镜像的来源可验证、内容未被篡改。本文将详细介绍如何在 Harbor 中使用 Notation 对镜像进行签名和验证，帮助读者提升镜像安全的管理能力。

💯 本文关联好文：

• 《一文读懂Harbor以及部署实践攻略》
• 《【云原生安全篇】Cosign助力Harbor验证镜像实践》

1 引言

容器镜像的安全性一直是 DevOps 和云原生领域的热门话题，如何确保从镜像仓库中拉取的镜像未被恶意篡改，是保障供应链安全的重要环节。Harbor 作为企业常用的镜像仓库，支持集成各种安全扫描和签名验证。而Notation 则是一个用于为容器镜像提供签名和验证的工具，可以帮助用户对镜像进行安全控制。

在本文中，我们将介绍如何将 Notation 工具与 Harbor 集成，探讨镜像签名和验证的具体操作流程，以确保容器镜像的完整性和可信性。

2 概念

2.1 什么是Notary 项目

Notary 是 Docker 公司创建的一个开源项目，最初是为了支持 Docker