如何使用 Podman 签署和分发容器镜像

最新推荐文章于 2024-04-12 13:24:44 发布
最新推荐文章于 2024-04-12 13:24:44 发布
阅读量373 收藏 1
点赞数
文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53765226/article/details/126362740
版权

签署容器镜像的动机是只信任专门的镜像提供者以减轻中间人 (MITM) 攻击或对容器注册表的攻击。签署图像的一种方法是使用 GNU Privacy Guard ( GPG ) 密钥。这种技术通常与任何符合 OCI 的容器注册表兼容,例如Quay.io。值得一提的是,OpenShift 集成容器注册表开箱即用地支持这种签名机制,这使得单独的签名存储变得不必要。

从技术角度来看,我们可以利用 Podman 对镜像进行签名,然后再将其推送到远程注册表。之后,所有运行 Podman 的系统都必须配置为从远程服务器检索签名,远程服务器可以是任何简单的 Web 服务器。这意味着在图像拉取操作期间,每个未签名的图像都将被拒绝。但这是如何工作的?

首先,我们必须创建一个 GPG 密钥对或选择一个已经在本地可用的密钥对。要生成新的 GPG 密钥,只需运行gpg --full-gen-key并按照交互式对话框操作。现在我们应该能够验证密钥在本地是否存在:

> gpg --list-keys sgrunert@suse.com pub rsa2048 2018-11-26 [SC] [expires: 2020-11-25] XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX uid [ultimate] Sascha Grunert <sgrunert@suse.com> sub rsa2048 2018-11-26 [E] [expires: 2020-11-25]

现在让我们假设我们运行一个容器注册表。例如,我们可以简单地在本地机器上启动一个:

sudo podman run -d -p 5000:5000 docker.io/registry

[root@localhost ~]# podman run -d -p 5000:5000 docker.io/registry
Trying to pull docker.io/library/registry:latest...
Getting image source signatures
Copying blob 5299e6f78605 skipped: already exists  
Copying blob 213ec9aee27d skipped: already exists  
Copying blob 44c4c74a95e4 done  
Copying blob 4c2fb79b7ce6 done  
Copying blob 74a97d2d84d9 done  
Copying config 3a0f7b0a13 done  
Writing manifest to image destination
Storing signatures
ddfb8e13c6abe86269371114ed12f79961d69c393e5a8c9e779b60af24696cf6
[root@localhost ~]#

注册表对镜像签名一无所知,它只是为容器镜像提供远程存储。这意味着如果我们想要对图像进行签名,我们必须注意如何分发签名。

alpine让我们为我们的签名实验选择一个标准图像:

[root@localhost ~]# podman pull docker://docker.io/alpine:latest
Trying to pull docker.io/library/alpine:latest...
Getting image source signatures
Copying blob 213ec9aee27d skipped: already exists  
Copying config 9c6f072447 done  
Writing manifest to image destination
Storing signatures
9c6f0724472873bb50a2ae67a9e7adcb57673a183cea8b06eb778dca859181b5
[root@localhost ~]# 


[root@localhost ~]#  podman images alpine
REPOSITORY                TAG         IMAGE ID      CREATED     SIZE
docker.io/library/alpine  latest      9c6f07244728  6 days ago  5.83 MB
[root@localhost ~]#

现在我们可以重新标记图像以将其指向我们的本地注册表:

[root@localhost ~]# podman tag alpine localhost:5000/alpine

[root@localhost ~]#  podman images alpine
REPOSITORY                TAG         IMAGE ID      CREATED     SIZE
docker.io/library/alpine  latest
最低0.47元/天 解锁文章
阿立血鹦鹉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
podman的使用
weixin_72898433的博客
08-15 830
podman的使用
Podman使用
qq_68054650的博客
05-10 1248
什么是Podman? Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。 Podman 可以管理和运行任何符合 OCI(Open Container Initiative)规范的容器容器镜像Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像Podman 官网地址:https://po
如何把Docker镜像分发速度提升90+%
02-25
现在,Docker技术正如狂风暴雨般改变着我们的基础设施架构。在腾讯,我们构建了大规模的容器云平台,其上运行了不同的应用,如广告推荐,消息推送等。其中也包括了像机器学习模型训练这类任务,这类任务包含很多的子任务(可能数百甚至上千个),当部署这种包含很多容器的任务时,会同时从DockerRegistry拉取(Pull)镜像,这种高并发的拉取操作,很容易耗尽DockerRegistry的网络资源,这时,DockerRegistry的网络出带宽就成了整个部署任务的瓶颈。一旦DockerRegistry变的不可用,整个容器平台的可用性也随之降低,甚至导致级联失效(CascadingFailure)。我
podman-remote-3.3.0-4.module_el8.5.0+890+6b136101.x86_64.rpm
12-18
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
如何配置 Podman 使用国内镜像源?_podman国内镜像
最新发布
04-12 2117
双击 图标,打开 工具,点击左下角的设置【】选择【】:如上图所示,默认情况下, 配置有 个容器注册表:您可以在以下文件中找到默认的 容器注册表配置文件 :您可以向此配置添加自定义或私有容器注册表。例如, 容器注册表、、自托管私有注册表等。如果你想使用注册中心的其他私有容器镜像,你可以使用命令登录到注册中心 。例如,要登录到 。 登录后,您将能够使用 命令从 中拉取容器镜像。如果您希望为特定用户提供不同的注册表配置,您可以 在用户目录中创建单独的容器注册表信息。 国内直接用 拉取镜像会很慢(可
Podman使用详解
justlpf的专栏
02-27 6181
防火墙的作用不会影响网络的设置和配置,但会影响这些网络上的流量。UID / GID 1是第一个UID / GID在用户在地图中指定/etc/subuid和/etc/subgid等,如果你安装来自主机的目录放入容器中作为一个无根的用户,并在容器中创建该目录中的文件作为根,你会看到它实际上由您的用户在主机上拥有。相反,Podman 使用用户命名空间来移动它在主机上(通过newuidmap和newgidmap可执行文件)和您自己的用户在 Podman 创建的容器中有权访问的用户块的 UID 和 GID。
Podman一篇就学会
皮卡丘多多的博客
12-15 1万+
Podman入门 什么是podman? Podman是一种无守护进程、开源的 Linux 原生工具,旨在使用开放容器倡议 ( OCI )容器容器映像轻松查找、运行、构建、共享和部署应用程序。Podman 提供了任何使用Docker容器引擎的人都熟悉的命令行界面 (CLI) 。大多数用户可以简单地将 Docker 别名为 Podman(别名 docker=podman),没有任何问题。与其他常见的容器引擎(Docker、CRI-O、containerd)类似,Podman 依赖于符合 OCI 的容器运行
Docker 大势已去,Podman 万岁
热门推荐
云原生实验室
10-17 10万+
前言郑重声明:本文不是 Podman 的入门篇,入门请阅读这篇文章:再见 Docker,是时候拥抱下一代容器工具了Podman 原来是 CRI-O 项目的一部分,后来被分...
Mesos容器引擎的架构设计和实现解析
01-27
引言:提到容器,大家第一时间都会想到Docker,毕竟Docker是目前最为流行...但其实除了Docker之外,在容器的开源生态圈中还有其它一些项目也在做自己的容器引擎,这样的项目一般也被称作为容器运行时(container runti
podman:Podman:一种用于管理OCI容器Pod的工具
02-22
Podman:一种用于管理OCI容器Pod的工具 Podman(POD MANager)是一种工具,用于管理容器和图像,安装在这些容器中的体积以及由容器组制成的容器Podman基于libpod,libpod是一个用于容器生命周期管理的库,该库...
Podman使用指南
10-19 296
安装 yum install -y podman 配置加速镜像 cp /etc/containers/registries.conf{,.bak} 编辑registries.conf文件 vim /etc/containers/registries.conf 在末尾添加以下行,把上面的内容都注悉掉 unqualified-search-registries = ["docker.io"] [[registry]] prefix = "docker.io" location = "xxxx
podman
dieyo的博客
08-12 399
Podman简介 Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。 Podman 可以管理和运行任何符合 OCI(Open Container Initiative)规范的容器容器镜像Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像Podman 官网地址:https://pod
podman基础入门
m0_67758799的博客
05-09 1570
文章目录podman简介podman与docker的区别架构Root特权构建镜像Docker SwarmAll in one vs 模块化podman与docker的关系podman的安装与使用 podman简介 容器编排工具作为当今最重要的Web开发技术之一,众多强者都在尝试争夺这一行业的主导地位。 Podman是一个开源项目,可在大多数Linux平台上使用并开源在GitHub上。Podman是一个无守护进程的容器引擎,用于在Linux系统上开发,管理和运行Open Container Initiati
Podman的安装与使用
Hanko的专栏
12-10 1590
安装 yum -y install podman 使用 podman ps -a podman run -dt -p 8080:8080/tcp 可以看到和docker类似
Podman的基本设置和使用
博客
08-16 2552
root@docker ~]# docker run -d -v /var/www/:/www nginx //在本地创建一个/var/www目录 ,在容器里面创建一个/www目录;要将容器从一台主机实时迁移到另一台主机,容器会在迁移的源系统上设置检查点,转移到目标系统,然后在目标系统上恢复。[root@docker ~]# docker run --volumes-from 想要挂载的容器 --name 指定新容器镜像。检查点容器会停止容器,同时将容器中所有进程的状态写入磁盘。......
podman—入门篇
qq_29188123的博客
12-13 2949
dockerpodman区别: podman是一个容器工具,不使用守护进程来开发、管理和运行 OCI 容器,因此它必须在 Linux OS 上运行(可以由root用户运行,也可以由非特权用户运行)是开源的容器管理工具 docker是一个容器引擎,Docker 需要在你的系统上运行一个守护进程,是以 root 身份在你的系统上运行该守护程序。 什么是Podman?简而言之:alias docker = podman podman Podman是一个开源项目,可在大多数Linux平台上使用并开源在GitH
Podman】podman入门学习 | Docker替代品
宝耶需努力的技术分享博客
05-20 1349
Podman 是一种无守护程序、开源的 Linux 原生工具,旨在使用 Open Containers Initiative (OCI) 容器容器映像轻松查找、运行、构建、共享和部署应用程序。Podman 提供了任何使用Docker 容器引擎的人都熟悉的命令行界面 (CLI)。
Podman入门笔记
qq_42236003的博客
10-05 4787
学习podman的第一步 首先我们必须了解什么是docker 我们可以了解关于docker是如何工作的,这将会帮助我们理解podman的工作原理,docker必须运行一个守护进程来为所有的docke命令提供服务,docker命令提供的服务主要有 拉取和注册镜像镜像仓库中 提交容器或者从本地镜像中删除容器 。。。。 如图,docker命令行工具(CLI)代表控制守护进程代表你执行这些操作 ...
podman基本设置及应用
m0_72915775的博客
08-15 322
podman基本设置及应用,podman常用命令
阿里云容器镜像仓库(ACR)的创建和使用
09-12
要创建和使用阿里云容器镜像仓库(ACR),你可以按照以下步骤进行操作: 1. 首先,登录阿里云控制台,并搜索ACR(阿里云容器镜像服务)或直接输入网址进入阿里云容器镜像服务平台:https*** 注册并登录到阿里云...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值