验证已签名容器镜像

    这些说明适用于 Kubernetes 1.24。如果你想要检查其他版本的 Kubernetes 组件的完整性, 请查看对应 Kubernetes 版本的文档。

    你需要安装以下工具:

    • curl (通常由你的操作系统提供)

    完整的镜像签名列表请参见发行版本

    说明:

    COSIGN_EXPERIMENTAL=1 用于对以 模式签名的镜像进行验证。想要进一步了解 KEYLESS,请参考 。

    验证所有已签名的控制平面组件镜像,请运行以下命令:

    1. curl -Ls https://sbom.k8s.io/$(curl -Ls https://dl.k8s.io/release/latest.txt)/release | grep 'PackageName: k8s.gcr.io/' | awk '{print $2}' > images.txt
    2. input=images.txt
    3. while IFS= read -r image
    4.   COSIGN_EXPERIMENTAL=1 cosign verify "$image"
    5. done < "$input"

    要了解更多信息,请参考镜像拉取策略章节。

    有一些非控制平面镜像 (例如 ), 也可以在部署时使用 cosigned 控制器验证其签名。如要使用 cosigned,下面是一些有帮助的资源: