验证已签名容器镜像

这些说明适用于 Kubernetes 1.27。如果你想要检查其他版本的 Kubernetes 组件的完整性，请查看对应 Kubernetes 版本的文档。

你需要安装以下工具：

Kubernetes 发布过程使用 cosign 的无密钥签名对所有二进制工件（压缩包、SPDX 文件、独立的二进制文件）签名。要验证一个特定的二进制文件，获取组件时要包含其签名和证书：

然后使用 cosign 验证二进制文件：

说明：

想要进一步了解无密钥签名，请参考 Keyless Signatures。

完整的镜像签名列表请参见发行版本。

从这个列表中选择一个镜像，并使用 cosign verify 命令来验证它的签名：

COSIGN_EXPERIMENTAL=1 用于对以模式签名的镜像进行验证。想要进一步了解 KEYLESS，请参考。

验证所有已签名的控制平面组件镜像，请运行以下命令：

当你完成某个镜像的验证时，可以在你的 Pod 清单通过摘要值来指定该镜像，例如： registry-url/image-name@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2。

要了解更多信息，请参考章节。