验证已签名容器镜像

特性状态: Kubernetes v1.24 [alpha]

准备开始

你需要安装以下工具:

验证二进制签名

Kubernetes 发布过程使用 cosign 的无密钥签名对所有二进制工件(压缩包、 SPDX 文件、 独立的二进制文件)签名。要验证一个特定的二进制文件, 获取组件时要包含其签名和证书:

  1. URL=https://dl.k8s.io/release/v1.31.0/bin/linux/amd64
  2. BINARY=kubectl
  3. FILES=(
  4. "$BINARY"
  5. "$BINARY.sig"
  6. "$BINARY.cert"
  7. )
  8. for FILE in "${FILES[@]}"; do
  9. curl -sSfL --retry 3 --retry-delay 3 "$URL/$FILE" -o "$FILE"
  10. done

然后使用 cosign verify-blob 验证二进制文件:

  1. cosign verify-blob "$BINARY" \
  2. --signature "$BINARY".sig \
  3. --certificate "$BINARY".cert \
  4. --certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \
  5. --certificate-oidc-issuer https://accounts.google.com

说明:

Cosign 2.0 需要指定 --certificate-identity--certificate-oidc-issuer 选项。

想要进一步了解无密钥签名,请参考 Keyless Signatures

Cosign 的早期版本还需要设置 COSIGN_EXPERIMENTAL=1

如需更多信息,请参考 sigstore Blog

验证镜像签名

完整的镜像签名列表请参见发行版本

从这个列表中选择一个镜像,并使用 cosign verify 命令来验证它的签名:

  1. cosign verify registry.k8s.io/kube-apiserver-amd64:v1.31.0 \
  2. --certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \
  3. --certificate-oidc-issuer https://accounts.google.com \
  4. | jq .

验证所有控制平面组件镜像

验证最新稳定版(v1.31.0)所有已签名的控制平面组件镜像, 请运行以下命令:

  1. curl -Ls "https://sbom.k8s.io/$(curl -Ls https://dl.k8s.io/release/stable.txt)/release" \
  2. | grep "SPDXID: SPDXRef-Package-registry.k8s.io" \
  3. | grep -v sha256 | cut -d- -f3- | sed 's/-/\//' | sed 's/-v1/:v1/' \
  4. | sort > images.txt
  5. input=images.txt
  6. while IFS= read -r image
  7. do
  8. cosign verify "$image" \
  9. --certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \
  10. --certificate-oidc-issuer https://accounts.google.com \
  11. | jq .
  12. done < "$input"

当你完成某个镜像的验证时,可以在你的 Pod 清单通过摘要值来指定该镜像,例如:

  1. registry-url/image-name@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2

要了解更多信息,请参考镜像拉取策略章节。

使用准入控制器验证镜像签名

有一些非控制平面镜像 (例如 conformance 镜像), 也可以在部署时使用 sigstore policy-controller 控制器验证其签名。以下是一些有助于你开始使用 policy-controller 的资源:

验证软件物料清单

你可以使用 sigstore 证书和签名或相应的 SHA 文件来验证 Kubernetes 软件物料清单(SBOM):

  1. # 检索最新可用的 Kubernetes 发行版本
  2. VERSION=$(curl -Ls https://dl.k8s.io/release/stable.txt)
  3. # 验证 SHA512 sum
  4. curl -Ls "https://sbom.k8s.io/$VERSION/release" -o "$VERSION.spdx"
  5. echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha512") $VERSION.spdx" | sha512sum --check
  6. # 验证 SHA256 sum
  7. echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha256") $VERSION.spdx" | sha256sum --check
  8. # 检索 sigstore 签名和证书
  9. curl -Ls "https://sbom.k8s.io/$VERSION/release.sig" -o "$VERSION.spdx.sig"
  10. curl -Ls "https://sbom.k8s.io/$VERSION/release.cert" -o "$VERSION.spdx.cert"
  11. # 验证 sigstore 签名
  12. cosign verify-blob \
  13. --certificate "$VERSION.spdx.cert" \
  14. --signature "$VERSION.spdx.sig" \
  15. --certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \
  16. --certificate-oidc-issuer https://accounts.google.com \
  17. "$VERSION.spdx"