Podman容器之签名分发与网络

最新推荐文章于 2024-08-12 08:46:57 发布
最新推荐文章于 2024-08-12 08:46:57 发布
阅读量1.2k 收藏 1
点赞数
文章标签: docker 服务器 linux 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mw5258/article/details/126373705
版权
本文介绍了如何使用Podman对容器镜像进行签名和分发,包括使用GPG密钥签名镜像,配置远程registry,以及设置强制签名策略。此外,还详细讲解了Podman的远程客户端功能,以及容器的网络配置,如Bridge、Macvlan和Slirp4netns网络模式的使用。
摘要由CSDN通过智能技术生成

文章目录

如何使用Podman对容器镜像进行签名和分发

对容器镜像进行签名源于仅信任专用镜像提供程序的动机,以缓解MITM 攻击或对容器注册表的攻击,对镜像进行签名的一种方法是使用GPG密钥,此技术通常与任何符合 OCI 的容器注册表兼容

从技术角度来看,我们可以在将镜像推送到远程注册表之前利用Podman对镜像进行签名。之后,所有运行Podman的系统都必须配置为从远程服务器检索签名,远程服务器可以是任何简单的Web服务器。这意味着在镜像拉取操作期间,每个未签名的镜像都将被拒绝。

首先创建一个GPG密钥对或选择一个本地可用的密钥对。要生成新的GPG密钥,只需运行并按照交互式对话框进行操作即可。现在我们应该能够验证密钥是否在本地存在:gpg --full-gen-key

[root@100 ~]# gpg --list-keys 1@2.com
pub   rsa2048 2022-08-16 [SC]
      3B243ED7F402AAC7E1F0CA3A38E9251EA9154B30
uid           [ultimate] Frices <1@2.com>
sub   rsa2048 2022-08-16 [E]

可以简单地在本地机器上启动一个容器registry

[root@100 ~]# podman run -d --name test -p 5000:5000 registry
0b647fe61f61181aa1cbb0fe9111a0e6eaa913f11c731d3cceddaa1478c44ec3

registry对镜像签名一无所知,它只是为容器镜像提供远程存储。这意味着,如果我们要对镜像进行签名,则必须注意如何分发签名。

选择一个标准镜像:alpine

[root@100 ~]# podman pull docker.io/library/alpine

重新标记镜像以将其指向本地registry

[root@100 ~]# podman tag alpine localhost:5000/alpine

修改系统范围的registry配置,/etc/containers/registries.d/default.yaml

[root@100 ~]# vim /etc/containers/registries.d/default.yaml
default-docker:
  sigstore: http://localhost:8000
  sigstore-staging: file:///var/lib/containers/sigstore
  • sigstore:引用 Web 服务器进行签名读取
  • sigstore-staging:引用文件路径以进行签名写入

推送并签署镜像

[root@100 ~]# podman push --tls-verify=false --sign-by 111@222.com localhost:5000/alpine
Getting image source signatures
Copying blob 994393dc58e7 done
Copying config 9c6f072447 done
Writing manifest to image destination
Signing manifest
Storing signatures

现在看一下系统签名存储

[root@100 ~]# ls /var/lib/containers/sigstore/
'alpine@sha256=e89c741df8cf66a2ada32d34844bcf6b5cfe3a9e2f6846b4c90b9165bc87d7ef'

在本地暂存签名存储中启动一个新服务器
/etc/containers/registries.d/default.yamlhttp://localhost:8000

[root@100 ~]# bash -c 'cd /var/lib/containers/sigstore && python3 -m http.server'
Ser
最低0.47元/天 解锁文章
时羽天
关注
podman的网络应用
B_memory的博客
08-23 440
podman的网络应用 [root@host ~]# podman run -d --name t100 -p 80 docker.io/library/nginx 74dd3208a460f4e91d50aed067dd78b16ac3cc2457ec57593328b30924eea749 [root@host ~]# podman ps CONTAINER ID IMAGE COMMAND CREATED
推荐开源项目:slirp4netns —— 为非特权网络命名空间提供用户模式网络
gitblog_00025的博客
05-19 366
推荐开源项目:slirp4netns —— 为非特权网络命名空间提供用户模式网络 slirp4netnsUser-mode networking for unprivileged network namespaces项目地址:https://gitcode.com/gh_mirrors/sl/slirp4netns 在深入技术世界之前,先来简单介绍一下slirp4netns。这是一个用于非特权网...
slirp4netns安装与使用指南
最新发布
gitblog_01130的博客
08-12 285
slirp4netns安装与使用指南 slirp4netnsUser-mode networking for unprivileged network namespaces项目地址:https://gitcode.com/gh_mirrors/sl/slirp4netns 项目概述 slirp4netns 是一个用于无特权网络命名空间的用户模式网络解决方案,它使得容器无需root权限即可访问网络...
podman网络管理
识途老码
11-02 4326
podman网络管理podman网络管理ls查看容器网络connect连接容器网络create创建容器网络disconnect断开容器网络exists查看容器网络是否存在inspect检查容器网络prune修改容器网络reload重启容器网络rm删除容器网络 podman网络管理 podman支持的网络默认模式是bridge podman只关心bridge网络 启动一个容器后,会出现cni-poman0网卡 容器启动时,默认会连接podman网络 [rhel8 root ~]# ip a show c
podman网络、常用命令、以及容器的开机自启
巅峰产生虚伪的拥护,黄昏见证虞城的信徒。
12-15 3365
目录1. podman网络1.1 rootfull和rootless容器网络之间的差异1.2 防火墙1.3 容器间通信示例:1.4 查看防火墙规则2. podman常用命令3. 容器的开机自启 1. podman网络 1.1 rootfull和rootless容器网络之间的差异 podman容器联网的指导因素之一将是容器是否由root用户运行。这是因为非特权用户无法在主机上创建网络接口。因此,对于rootfull容器,默认网络模式是使用容器网络接口(CNI)插件,特别是桥接插件。对于rootless,默认的
使用Podman 签名分发容器镜像并推送到harbor仓库中
weixin_56774628的博客
08-16 652
使用Podman 签名分发容器镜像并推送到harbor仓库中
如何使用 Podman 签署和分发容器镜像
m0_53765226的博客
08-16 405
如何使用 Podman 签署和分发容器镜像
podman:Podman:一种用于管理OCI容器Pod的工具
02-22
Podman(POD MANager)是一种工具,用于管理容器和图像,安装在这些容器中的体积以及由容器组制成的容器Podman基于libpod,libpod是一个用于容器生命周期管理的库,该库也包含在其中。 libpod库提供用于管理容器...
slirp4netns-0.4.3-4.el7_8.x86_64.rpm
12-04
官方离线安装包,亲测可用
podman—网络设置、开机自启及加速器配置
qq_29188123的博客
12-14 3416
podman容器的开机自启: 实例: [root@localhost ~]# podman create --name nginx nginx:latest 84820a649b74774dc429bd80a5d00b196704a632b6bf7aaa961a293b51b62799 [root@localhost ~]# podman ps -a CONTAINER ID IMAGE COMMAND CREATED
podman
dieyo的博客
08-12 467
Podman简介 Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。 Podman 可以管理和运行任何符合 OCI(Open Container Initiative)规范的容器容器镜像。Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。 Podman 官网地址:https://pod
配置无根环境使用Podman&配置无根环境的网络
m0_50111062的博客
08-17 827
设置在无根环境中普通用户使用Podman。以及介绍并设置普通用户使用网络的模式。
podman的开机自启,podman网络、常用命令
qq_58668102的博客
12-15 1013
podman网络 rootfull和rootless容器网络之间的差异 podman容器联网的指导因素之一将是容器是否由root用户运行。这是因为非特权用户无法在主机上创建网络接口。因此,对于rootfull容器,默认网络模式是使用容器网络接口(CNI)插件,特别是桥接插件。对于rootless,默认的网络模式是slir4netns。由于权限有限,slirnetns缺少CNI组网的一些功能;例如,slirp4netns无法为容器提供可路由的IP地址。cni是容器网络接口 防火墙 防火墙的作用不会影响网络的设
podman容器自启和网络
NeaWalke的博客
12-15 1630
目录容器开机自启普通用户设置容器开机自启Podman网络 容器开机自启 #创建容器 [root@localhost ~]# podman create --name nginx nginx ✔ docker.io/library/nginx:latest Trying to pull docker.io/library/nginx:latest... Getting image source signatures Copying blob 44be98c0fab6 done Copying blob 8
podman详解
weixin_38650077的博客
02-04 1513
Podman 是一个开源项目,用于开发、管理和运行容器容器镜像。它与 Docker 非常相似,但有一些关键的不同之处。:不同于 DockerPodman 不需要运行一个永久的守护进程。这使得 Podman 更符合 “一个进程,一个容器” 的哲学,也减少了潜在的安全风险。:Podman 可以允许非 root 用户运行容器。这意味着你不需要 root 权限或使用 sudo 命令就可以运行 Podman。
podman的使用
的博客
08-13 606
podman的使用 设置别名 [root@hzy ~]# alias alias cp='cp -i' alias docker='podman' 拉取镜像 [root@hzy ~]# docker pull nginx Resolving "nginx" using unqualified-search registries (/etc/containers/registries.conf) Trying to pull docker.io/library/nginx:latest... Getting
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值