應用上云的程序中,過了部署關和應用改造關之后,安全就是下一個大問題了,對于容器化應用來說,鏡像的安全是個非常根本的問題,例如 Harbor 中集成了 Clair 組件,用于對鏡像進行漏洞掃描;之前介紹的 Trivy 也能夠提供對鏡像各層進行掃描的能力,類似的工具還有很多,在完成鏡像本身的安全保障之后,一方面要把安全構建出來的鏡像能夠”原汁原味“的提供給運行時進行使用,同時還要對運行時環境進行約束,只允許獲取和運行可靠鏡像,如此才能夠保證鏡像供應鏈的完整,
快速上手
Harbor 中提供了 Notary 服務來提供了這方面的保障,Docker 17.12 之后也提供了對應的運行時支持,
這里用 1.10.0 版本的 Harbor 為例,在安裝命令中加入引數 --with-notary 就可以啟用這個服務了,啟動 Harbor 之后,使用 Docker 客戶端的終端設定環境變數:
export DOCKER_CONTENT_TRUST=1啟用 Docker 的內容信任模式,
這里多出了一個初始化程序,在我們照章輸入密碼之后,發現出了錯,這是因為我們沒有設定 Notary 服務地址,加入環境變數來解決:
export DOCKER_CONTENT_TRUST_SERVER=https://hub.docker.com:4443做完上面這些,在推送鏡像的時候,可能出現下面的錯誤
ERRO[0000] could not reach https://127.0.0.1:4443: Get https://127.0.0.1:4443/v2/: x509: certificate signed by unknown authority這樣來解決
|
| |
|
|
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/262097.html
標籤:區塊鏈
上一篇:密封類sealed
下一篇:二、地址型別