探索Docker Notary:安全的镜像签名与验证工具

于 2024-03-22 09:46:00 发布
阅读量975 收藏 20
点赞数 10
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00043/article/details/136930690
版权

探索Docker Notary:安全的镜像签名与验证工具

项目地址:https://gitcode.com/docker/notary

Docker Notary 是一个开放源码的项目,旨在提供强大的容器镜像安全特性,包括数字签名和验证。本文将深入介绍Notary的基本概念、技术原理、应用场景及特点,以帮助你更好地理解和利用这个项目。

项目简介

Docker Notary是Docker生态系统中的重要组件,它构建在TUF (The Update Framework)之上,用于确保Docker镜像的安全性和完整性。Notary允许开发者对Docker镜像进行签名,并且让终端用户能够验证这些镜像未经篡改。这样,用户就可以信任他们拉取并运行的镜像是来自预期的源头,且未被第三方恶意修改。

技术分析

Notary系统主要由两部分构成:Notary Server和Notary Signer。

  • Notary Server 是服务端组件,负责存储和管理TUF文件(包括顶级元数据、目标元数据等),并与Notary Client交互,提供API以供查询和签名操作。

  • Notary Signer 则是一个独立的服务,用于处理实际的加密签名,确保密钥的安全性,通常它会运行在不同的机器上以增加安全性。

在操作流程中,开发者使用Notary Client为镜像创建和更新签名,客户端会与Notary Server通信并调用Notary Signer来进行签名。当用户从Docker Registry下载镜像时,Docker客户端会自动使用Notary信息来验证镜像的完整性和来源。

应用场景

Notary的主要应用场景包括:

  1. 安全发布: 开发者可以使用Notary为他们的Docker镜像添加签名,保证只有经过验证的更新才会被用户接收。

  2. 保护用户免受攻击: 用户可以在下载镜像前检查其签名,确认来源于可信的源头,避免下载到包含恶意代码的镜像。

  3. 企业级合规性: 在有严格安全策略的企业环境中,Notary可以帮助实施对软件供应链的全面控制。

  4. 多层信任模型: TUF支持多层次的签名和授权,使得不同团队或个人可以在不同阶段对镜像进行签名,增加了灵活性和安全性。

特点

  1. 基于TUF: 强大的更新框架提供了安全的回滚防护和分层权限管理。

  2. 分离的签名服务: 不直接在服务器上进行签名,增强了密钥安全。

  3. 易于集成: 可轻松地与现有的Docker基础设施结合使用,无需大规模重构。

  4. 开源: 透明的开发过程和广泛的社区支持,持续改进和更新。

  5. 跨平台: 支持多种操作系统和环境,如Linux、macOS和Windows。

结语

Docker Notary为容器安全带来了重要的提升,无论是对于开发者还是用户,都是值得信赖的工具。通过了解和采用Notary,你可以更自信地管理和部署你的Docker镜像,确保每一次的交付都安全可靠。现在就尝试使用Notary,为你的容器世界增添一层安全保障吧!

项目地址:https://gitcode.com/docker/notary

gitblog_00043
关注
  • 10
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
dct-notary-admin:管理Docker内容信任和公证证书
04-06
Docker Content Trust-公证人管理员 该API和webapp添加了管理Docker Content Trust和公证证书的功能。 它允许您为Docker存储库创建新的Target证书,以及授权存储库的委托。 这样,可以将证书存储在管理备份的安全环境中。 该项目利用了,该是一个进行中的开发设置,旨在向。 该绝不是硬性的分叉,只是在那里弥合了一段时间以使其回到上游。 API端点 HTTP方法 网址 描述 得到 返回乒乓球 得到 检索所有目标键 邮政 创建一个新的目标和关键 得到 检索单个目标键 得到 检索给定目标的所有委托键 邮政 向给定目标添加新的代表团 删除 从给定的目标中删除一个代表团 先决条件 为了简化开发工作流程,建议安装CMake 。 要与Hashicorp Vault交互,可以使用Vault vault cli 。 平台 安装 网址 视窗
搭建Docker Notary服务
LogicLancer的博客
03-24 463
Notary是一个Docker内容信任的支持系统,它允许发布者签名镜像并且允许消费者验证这些签名
Docker Notary服务架构
weixin_41335923的博客
12-03 5573
Notary 客户端、服务器和签名者之间的交互: 公证服务器可选地支持来自使用JWT令牌的客户端的身份验证 。这需要管理访问控制的授权服务器,以及来自该授权服务器的包含用于签署令牌的公钥的证书包。 如果在 Notary 服务器上启用了令牌身份验证,则任何没有令牌的连接客户端都将被重定向到授权服务器。 有关更多信息,请参阅Docker Registry v2 身份验证的文档。 客户端将通过 HTTPS 上的基本身份验证登录到授权服务器,获取不记名令牌,然后在以后的请求中将令牌呈现给公证服务器。
Docker 生产环境之使用可信镜像 - 用 compose 部署 Notary 服务器
kikajack的博客
03-18 1310
原文地址部署 Notary 服务器的最简单方法是使用 Docker Compose。要按照此页面上的过程,你必须已经安装了 Docker Compose。Clone Notary 仓库git clone [email protected]:docker/notary.git用简单证书构建并启动 Notary 服务器docker-compose up -d有关如何部署 Notary 服务器的详细文档,请参阅
安装Harbor Notary后登录提示密码错误
锐意工作室
03-12 5081
安装Harbor Notary后登录提示密码错误 遇到一个古怪的问题,安装Harbor Notary登录不了Harbor页面,提示密码错误。 解决方法是把Harbor和Notary重启一下: docker-compose -f ./docker-compose.yml -f ./docker-compose.notary.yml stop docker-compose -f ./docker-co...
docker-duply:Docker镜像提供duply备份工具
02-15
杜比是基于的备份工具。 它使用GnuPG加密备份,并可以连接到多个后端。建立形象建立图像应该很容易。 您可以使用以下命令: docker build -t duply 或从Docker Hub获取 。使用图像泊坞窗iamge预计有三卷。 一个用于...
Docker安全:从入门到实战
01-19
主要简述Docker容器的安全知识分享,并讲解了一些安全规则,以及怎么构建Docker的防御体系,对应初步学习Docker的同学有很大的帮助,尤其是关注Docker安全入门用户有一定的技能提升。
Docker源码分析(十):Docker镜像下载
01-30
DockerImage是Docker体系的价值所在,没有丝毫得夸大其词。DockerImage作为容器运行环境的基石,彻底解放了Docker容器创建的生命力,也激发了用户对于容器运用的无限想象力。玩转Docker,必然离不开DockerImage的...
docker-cerebro:Docker镜像运行Cerebro Elasticsearch Web管理工具
05-09
运行cerebro Web管理工具Docker镜像,该工具取代了 。 Cerebro项目: : 此Docker映像已构建并在Docker中心可用 Docker标签 yannart/cerebro提供了多个带标签的图像: latest (默认):最新版本的Cerebro。 ...
mangos-docker:Docker镜像中的Mangos项目
05-23
该存储库列出了为Mangos项目构建和运行Docker映像所需的一切。 存储库的组织方式 每个文件夹都专用于特定版本的Mangos,您可以在其中找到有关该精确版本的所有信息(从Dockerfile到部署文件)。 每个版本目前提供3个...
Docker 镜像签名将如何随着 Notary v2 发展
学海无涯苦作舟的博客
12-17 656
签名Docker 镜像通过让用户检查他们下载的镜像是否真正来自您来增强生态系统的信任和安全性。尽管签名有明显的好处,但 Docker 用户的使用速度很慢,并且默认情况下未启用。 现在,公证人签名系统的新版本试图改变这一点。2019 年 12 月成立了多供应商工作组,以改善图像签名体验并解决原始实施中的一些问题。Notary v2于2021 年 10 月以 alpha形式发布。以下是它如何使签名与现代容器使用模式更加兼容。 什么是Notary ? Notary 是 Docker 于 2015 年开始的.
50+个有用的Docker工具
langhailove_2008的博客
01-08 1343
【编者的话】随着容器化落地生根,以及迎合容器化趋势,几十个工具如雨后春笋般涌现。看看你正在使用的工具就知道了,不管是编排,CI/CD,还是日志,监控,以及其他等等。容器生态系统正以前所未有的速度不断增长和扩大,并且拥有这么多的Docker工具和服务,仅仅了解这些工具有用的选项,你就会感受到任务的艰巨。无论你是初学者还是专家,开发人员或DevOps工程师,SRE或平台架构师,下面的列表都将成为你了解当
Docker 生产环境之使用可信镜像 - 内容信任(content trust)的委派 delegation
kikajack的博客
03-18 1010
原文地址Docker Engine 支持使用 targets/releases delegation (委托,授权)作为可信镜像标记的规范来源。使用此 delegation 可让你与其他发布者协作,而不共享你仓库密钥,这是你的 targets 和 snapshot 密钥的组合。有关更多信息,请参阅 管理内容信任的密钥。合作者可以保留自己的 delegation 密钥。targets/releases
Docker 生产环境之使用可信镜像 - 在内容信任(content trust)沙盒中演示
kikajack的博客
03-18 1621
原文地址本页面介绍了如何设置和使用沙盒(sandbox)进行信任实验。沙盒允许你在本地配置和尝试信任操作,而不会影响生产镜像。在开始这个沙盒实验之前,应该仔细阅读 信任概述。1. 先决条件这些说明假定你正在 Linux 或 macOS 中运行。可以在本地机器或虚拟机上运行此沙箱。需要拥有在本地机器或虚拟机上运行 docker 命令的权限。此沙箱需要安装两个 Docker 工具Docker Engi
Docker容器: 那些你不知道的事
Hardy
02-12 7445
先说说我们知道的事,Docker 是 PaaS 提供商 DotCloud 开源的一个高级容器引擎,源代码托管在 Github 上,基于go语言并遵从Apache2.0协议开源。Docker相当于物理行业的集装箱对物流的影响一样,成为Container上运行镜象的统一打包和交换的标准,Docker介绍请参看文章容器演进和技术基础介绍。
Docker 生产环境之使用可信镜像 - 自动化内容信任(content trust)
kikajack的博客
03-18 1642
原文地址获取并构建镜像的自动化系统也可以使用内容信任。任何自动化环境都必须在处理镜像前手动或通过脚本方式设置 DOCKER_CONTENT_TRUST。1. 绕过密码请求要允许工具打包 docker 并推送可信内容,有两个环境变量允许你提供不需要脚本的密码,或者直接输入密码到: DOCKER_CONTENT_TRUST_ROOT_PASSPHRASE DOCKER_CONTENT_TRUST_REP
Docker-----Harbor私有仓库介绍+实验
m0_50854537的博客
03-16 5239
前言 Habor是由VMWare公司开源的容器镜像仓库。事实上,Habor是在Docker Registry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制 ,AD/LDAP集成以及审计日志等,足以满足基本企业需求。 官方地址:https://vmware.github.io/harbor/cn/ 一、Harbor简介 harbor是vmware开源的企业级registry,可以让你迅速的搭建自己的私有registry,harbor扩展
高级色系PPT11.pptx
最新发布
05-08
高级色系PPT11.pptx
- docker images: - docker rmi - docker pull - docker push - docker save - docker load
02-23
Docker images是Docker中的一个重要概念它是用于创建Docker容器的基础。一个Dock image是一个只读的模板,包含了运行一个容器所需的所有文件系统、代码和依赖项。 下是对于您提到的几个D命令的介绍1. docker rmi:该命令用于删除一个或多个Docker镜像。可以通过镜像ID或者镜像名称来指定要删除的像。 2. docker pull:该命令于从Docker仓库中拉取(下载)一个Docker镜像到本地。可以通过指定镜像名称和标签来拉取特定版本的镜像。 3. docker push:该命令用于将本地的Docker镜像推送(上传)到Docker仓库中,以便其他人可以从仓库中拉取使用。需要先登录到Docker仓库才能进行推送操作。 4. docker save:该命令用于将一个或多个Docker镜像保存为一个tar文件。这个tar文件可以用于在其他机器上使用docker load命令加载这些镜像。 5. docker load:该命令用于从一个tar文件中加载(导入)一个或多个Docker镜像到本地。这些镜像可以是通过docker save命令保存的。 希望以上解答对您有帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gitblog_00043

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值