Bootstrap 4
Bootstrap 3
C
C++
Clojure 1.8
Codeigniter 3
CSS
Docker 17
撰写 | Compose
引擎 | Engine
引擎: 管理员指南 | Engine: Admin Guide
引擎: CLI | Engine: CLI
引擎: 扩展 | Engine: Extend
引擎: 安全 | Engine: Security
Docker的AppArmor安全配置文件 | AppArmor security profiles for Docker (Engine)
Docker中的内容信任 | Content trust in Docker (Engine)
内容信任代表 | Delegations for content trust (Engine)
部署公证人 | Deploying Notary (Engine)
Docker安全性 | Docker security (Engine)
Docker安全性非事件 | Docker security non-events (Engine)
使用用户命名空间隔离容器 | Isolate containers with a user namespace (Engine)
管理内容信任的密钥 | Manage keys for content trust (Engine)
在内容信任沙箱中演示 | Play in a content trust sandbox (Engine)
保护Docker守护程序套接字 | Protect the Docker daemon socket (Engine)
Secer的Seccomp安全配置文件 | Seccomp security profiles for Docker (Engine)
安全引擎 | Secure Engine
使用可信图像 | Use trusted images
使用证书进行存储库客户端验证 | Using certificates for repository client verification (Engine)
引擎: 教程 | Engine: Tutorials
开始 | Get Started
机器 | Machine
公证 | Notary
Electron
Elixir 1.5
Erlang 20
Eslint
Express
Git
Go
HTML
HTTP
Immutable 3.8.1
JavaScript
Lodash 4
Lua 5.3
Nginx
PHP
Phpunit 6
Python
React
React native
Redis
Redux
Ruby 2.4
Sass
Scikit image
Socket.IO
Sqlite
SVG
TensorFlow Guide
Typescript
Underscore
Vue 2
Webpack
Xslt & Xpath
Yarn
RxJS 5
Rollup.js
Babel
Parcel
MobX
Koa
Angular
Gulp
Grunt
Stylelint
Standard JS
Element UI
iView UI
Lavas
Mint UI
PostCSS
ThinkJS
Nest
npm
Node.js教程
JSON教程
Groovy教程
vb.net教程
Storm入门教程
Hibernate 教程
Slick教程
MongoDB教程
Yii 2.0

内容信任自动化(引擎) | Automation with content trust (Engine)

内容信任的自动化

您的自动化系统拉取或构建镜像也可以信任。DOCKER_CONTENT_TRUST在处理镜像之前,任何自动化环境都必须手动设置或以脚本方式设置。

绕过密码短语的请求

要允许工具打包docker并推送可信内容,有两个环境变量允许您提供没有期望脚本的密码短语,或者输入它们:

  • DOCKER_CONTENT_TRUST_ROOT_PASSPHRASE

  • DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE

Docker尝试将这些环境变量的内容用作密钥的密码。例如,图像发布者可以导出存储库targetsnapshot密码短语:

$  export DOCKER_CONTENT_TRUST_ROOT_PASSPHRASE="u7pEQcGoebUHm6LHe6"
$  export DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE="l7pEQcTKJjUHm6Lpe4"

然后,在推送新标签时,Docker客户端不会请求这些值,而是自动标记:

$  docker push docker/trusttest:latest
The push refers to a repository [docker.io/docker/trusttest] (len: 1)
a9539b34a6ab: Image already exists
b3dbab3810fc: Image already exists
latest: digest: sha256:d149ab53f871 size: 3355
Signing and pushing trust metadata

直接使用公证客户端时,它将使用自己的一组环境变量。

内容信任构建

您也可以使用内容信任进行构建。在运行docker build命令之前,您应该DOCKER_CONTENT_TRUST手动或以脚本方式设置环境变量。考虑下面的简单Dockerfile。

FROM docker/trusttest:latest
RUN echo

FROM标签被拉动签署图像。您无法构建具有FROM本地或未签署的图像。鉴于标记存在内容信任数据latest,以下构建应该成功:

$  docker build -t docker/trusttest:testing .
Using default tag: latest
latest: Pulling from docker/trusttest

b3dbab3810fc: Pull complete
a9539b34a6ab: Pull complete
Digest: sha256:d149ab53f871

如果启用了内容信任,则从依赖于标记而没有信任数据的Dockerfile构建,会导致构建命令失败:

$  docker build -t docker/trusttest:testing .
unable to process Dockerfile: No trust data for notrust

相关信息

  • Docker中的内容信任

  • 管理内容信任的密钥

  • 内容信任代表团

  • 在内容信任沙箱中播放

信任安全,docker,文档自动化