podman进阶

最新推荐文章于 2024-07-01 22:14:37 发布
最新推荐文章于 2024-07-01 22:14:37 发布
阅读量512 收藏 1
点赞数 2
文章标签: 容器 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65441164/article/details/126375476
版权

podman进阶

文章目录

如何使用 Podman 签署和分发容器镜像

签署容器镜像的动机是只信任专门的镜像提供者以减轻中间人 (MITM) 攻击或对容器注册表的攻击。签署图像的一种方法是使用 GNU Privacy Guard ( GPG ) 密钥。这种技术通常与任何符合 OCI 的容器注册表兼容,例如Quay.io。值得一提的是,OpenShift 集成容器注册表开箱即用地支持这种签名机制,这使得单独的签名存储变得不必要。

从技术角度来看,我们可以利用 Podman 对镜像进行签名,然后再将其推送到远程注册表。之后,所有运行 Podman 的系统都必须配置为从远程服务器检索签名,远程服务器可以是任何简单的 Web 服务器。这意味着在图像拉取操作期间,每个未签名的图像都将被拒绝。但这是如何工作的?

首先,我们必须创建一个 GPG 密钥对或选择一个已经在本地可用的密钥对。要生成新的 GPG 密钥,只需运行gpg --full-gen-key并按照交互式对话框操作。现在我们应该能够验证密钥在本地是否存在:

gpg --list-keys sgrunert@suse.com
pub   rsa2048 2018-11-26 [SC] [expires: 2020-11-25]
      XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
uid           [ultimate] Sascha Grunert <sgrunert@suse.com>
sub   rsa2048 2018-11-26 [E] [expires: 2020-11-25]

现在让我们假设我们运行一个容器注册表。例如,我们可以简单地在本地机器上启动一个:

[root@localhost ~]# sudo podman run -d -p 5000:5000 docker.io/registry
532c7d4fd848e05fc39dc75b772e27df842f5ed5308745889c4487aadcf20f9f
[root@localhost ~]#

注册表对镜像签名一无所知,它只是为容器镜像提供远程存储。这意味着如果我们想要对图像进行签名,我们必须注意如何分发签名。

alpine让我们为我们的签名实验选择一个标准图像:

[root@localhost ~]# sudo podman pull docker://docker.io/alpine:latest
9c6f0724472873bb50a2ae67a9e7adcb57673a183cea8b06eb778dca859181b5
[root@localhost ~]#
[root@localhost ~]# sudo podman images alpine
REPOSITORY                TAG         IMAGE ID      CREATED     SIZE
docker.io/library/alpine  latest      9c6f07244728  6 days ago  5.83 MB
[root@localhost ~]#

现在我们可以重新标记图像以将其指向我们的本地注册表:

[root@localhost ~]# sudo podman tag alpine localhost:5000/alpine
[root@localhost ~]# sudo podman images alpine
REPOSITORY                TAG         IMAGE ID      CREATED     SIZE
docker.io/library/alpine  latest      9c6f07244728  6 days ago  5.83 MB
localhost:5000/alpine     latest      9c6f07244728  6 days ago  5.83 MB
[root@localhost ~]#

Podman 现在可以通过一个命令推送图像并对其进行签名。但是要让它工作,我们必须在以下位置修改我们的系统范围的注册表配置

[root@localhost ~]# vim /etc/containers/registries.d/default.yaml
 14 default-docker:
 15   sigstore: sigstore: http://localhost:8000 # Added by us
 16   sigstore-staging: file:///var/lib/containers/sigstore

我们可以看到我们配置了两个签名存储:

  • sigstore: 引用 Web 服务器进行签名读取
  • sigstore-staging: 引用文件路径进行签名写入

现在,让我们推送并签署图像:

sudo -E GNUPGHOME=$HOME/.gnupg \
    podman push \
    --tls-verify=false \
    --sign-by sgrunert@suse.com \
    localhost:5000/alpine
…
Storing signatures

如果我们现在看一下系统签名存储,我们会看到有一个新的签名可用,这是由图像推送引起的:

[root@localhost ~]# sudo ls /var/lib/containers/sigstore
'alpine@sha256=e9b65ef660a3ff91d28cc50eba84f21798a6c5c39b4dd165047db49e84ae1fb9'

我们编辑的版本中的默认签名存储 /etc/containers/registries.d/default.yaml引用了一个正在监听的 Web 服务器 http://localhost:8000。对于我们的实验,我们只需在本地临时签名存储中启动一个新服务器:

sudo bash -c 'cd /var/lib/containers/sigstore && python3 -m http.server'
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

让我们删除本地图像以进行验证测试:

[root@localhost ~]# sudo podman rmi docker.io/alpine localhost:5000/alpine

我们必须编写一个策略来强制签名必须是

最低0.47元/天 解锁文章
霉逝
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
podman
哭的博客
08-16 832
防火墙的作用不会影响网络的设置和配置,但会影响这些网络上的流量。最明显的是容器主机的入站网络流量,这些流量通常通过端口映射传递到容器上。podman容器联网的指导因素之一将是容器是否由root用户运行。因此,对于rootfull容器,默认网络模式是使用容器网络接口(CNI)插件,特别是桥接插件。对容器映像进行签名源于仅信任专用映像提供程序的动机,以缓解中间人 (MITM) 攻击或对容器注册表的攻击。之后,所有运行Podman的系统都必须配置为从远程服务器检索签名,远程服务器可以是任何简单的Web服务器。..
podman网络、常用命令、以及容器的开机自启
巅峰产生虚伪的拥护,黄昏见证虞城的信徒。
12-15 3247
目录1. podman网络1.1 rootfull和rootless容器网络之间的差异1.2 防火墙1.3 容器间通信示例:1.4 查看防火墙规则2. podman常用命令3. 容器的开机自启 1. podman网络 1.1 rootfull和rootless容器网络之间的差异 podman容器联网的指导因素之一将是容器是否由root用户运行。这是因为非特权用户无法在主机上创建网络接口。因此,对于rootfull容器,默认网络模式是使用容器网络接口(CNI)插件,特别是桥接插件。对于rootless,默认的
推荐开源项目:Netavark - 容器网络栈
gitblog_00007的博客
05-23 247
推荐开源项目:Netavark - 容器网络栈 项目地址:https://gitcode.com/containers/netavark 在如今的云原生时代,容器网络配置的重要性不言而喻。Netavark,一个基于Rust语言构建的全新容器网络栈,为Podman和其它OCI容器管理应用带来了更为高效、安全且可扩展的解决方案。 项目介绍 Netavark的目标是简化并优化Linux容器的网络配置。它...
桥接模式
weixin_30861797的博客
06-01 300
  在实际生活中,某些事物由于自身的逻辑,具有两个或多个维度的变化。   考虑这样一个场景:国家武装力量分为海军、陆军、空军三个军种,海陆空三军各自又有军师旅团营等 建制。对于各个军种,以上的建制单位所包含的人数是不一样的。陆军人数较多,而空军人数较少。这样就 产生了两个维度,一个是军种维度,另一个是具体的各个军种的建制制度。在军种制度,可以增加例如“外空” 的新军种;在建制维度,可以修改...
wsl2中安装podman启动容器时报错
qq_39390694的博客
10-18 1628
wsl2中安装podman启动容器时报错 使用命令: podman run -p 8080:80 --name nginx -d nginx 启动容器时报错了 报错内容为: # Warning: iptables-legacy tables present, use iptables-legacy to see them iptables v1.8.4 (nf_tables): CHAIN_ADD failed (No such file or directory): chain PREROUTING 最
podman的开机自启,podman网络、常用命令
qq_58668102的博客
12-15 956
podman网络 rootfull和rootless容器网络之间的差异 podman容器联网的指导因素之一将是容器是否由root用户运行。这是因为非特权用户无法在主机上创建网络接口。因此,对于rootfull容器,默认网络模式是使用容器网络接口(CNI)插件,特别是桥接插件。对于rootless,默认的网络模式是slir4netns。由于权限有限,slirnetns缺少CNI组网的一些功能;例如,slirp4netns无法为容器提供可路由的IP地址。cni是容器网络接口 防火墙 防火墙的作用不会影响网络的设
Java进阶学习资料.zip
06-21
5.反射机制:学习并利用反射进行运行时类型检查、动态调用方法、修改私有成员变量,以实现动态代理等高级功能。 6. 异常处理:理解异常的分类,合理使用try-catch-finally语句,以及自定义异常,编写健壮的代码。 ...
Python进阶.pdf
04-11
《Python进阶》是一本专为已经掌握Python基础的开发者准备的进阶指南。书中涵盖了Python编程中的高级特性和实践技巧,旨在帮助读者深入理解Python的内在机制,并提升编程效率和代码质量。以下是对书中部分关键知识点...
Java技术进阶书单
06-27
Tomcat是Java Web应用程序中最常用的容器之一,《深入剖析Tomcat》一书详细介绍了Tomcat的工作原理以及内部机制,非常适合对Web容器感兴趣的技术人员。通过阅读本书,Java开发者可以更好地理解Tomcat是如何运行Web...
C/C++编程进阶
03-15
4. 异常处理:C++的异常处理机制提供了在运行时捕获错误的方式,是编写健壮代码的必备工具。理解try、catch和throw语句的使用,以及异常安全性的概念,对于编写可靠的程序至关重要。 5. 文件操作:C/C++提供了标准...
podman 如何开启 sock 使用 docker 客户端进行管理
ModStartCMS的博客
01-06 946
如果希望使用 Docker 客户端来管理 Podman,可以通过将 Podman 的 sock 文件映射到 Docker 客户端来实现。
Podman容器技术基础入门
世间万事,风云变幻,苍黄翻覆,纵使波橘云诡,但制心一处,便无事不成。天定胜人,人定兮胜天。
12-14 1249
Podman容器技术基础入门 介绍podman 为什么使用podman Podman 是 Docker 的替代品,用于容器化应用程序的本地开发。Podman 命令将 1 对 1 映射 Docker 命令,包括它们的参数。你可以使用 podman 为 docker 添加别名,并且从不会发现管理本地容器的是两种完全不同的工具。Podman 的核心功能之一是它专注于**安全性。**使用 Podman 不需要守护进程。相反,它使用传统的 fork-exec 模型,并且大量地使用 用户名称空间 和 网络名称空间 。因
RedHat9 | podman容器-续集
最新发布
weixin_45564816的博客
07-01 966
如果希望可以无限期运行服务的容器,如Web服务器或数据库,特权用户通常将这些服务配置为在系统启动时运行,使用systemctl命令进行管理。可以通过配置端口映射,以启用与容器的通信。要提供对容器的网络访问权限,客户端必须连接到容器主机上的端口,这些端口将网络流量传递到容器中的端口。将容器主机上的网络端口映射到容器中的端口时,容器将接收发送到主机网络端口的网络流量。podman会先下载容器镜像,然后才会创建容器,这里我们只需要容器具有仓库文件的读权限,而不需要有写权限,所以无需修改SELinux安全上下文。
如何使用 Podman 签署和分发容器镜像
m0_53765226的博客
08-16 390
如何使用 Podman 签署和分发容器镜像
使用 podman-remote 远程客户端远程访问 podman
多恩斯基的博客
05-16 2642
《OpenShift / RHEL / DevSecOps 汇总目录》 文章目录podman 远程客户环境说明节点 1 配置 podman 服务节点 2 远程访问 podman参考 podman 远程客户 podman是替换docker的容器环境,它不但可以对本地容器进行操作,还可以使用远程客户端对运行了podman服务的远程环境上的容器进行操作。 要从远程访问 podman,需要在被访问一侧运行 podman.socket 服务。客户端通过 SSH 通道访问远程的 podman 服务。 podman-re
CentOS7 SSH 免密登录
qq_41009234的博客
01-04 851
在部署集群时经常遇到客户只有一台跳板机通往各个服务器,控制端需要配置免密码登录,使集群之间能够部署我们的服务。 更安全 Ed25519 算法 步骤: 在控制端生成密钥 把生成的公共密钥添加到需要免密登录的服务器中 前提: 你已经可以通过 SSH 登录服务器了 1. 在控制端生成密钥 更安全 Ed25519 算法 ssh-keygen -t ed25519 -N '' -f ~/.ssh/id_...
Podman 安装及基本配置
xumneg111的博客
12-14 9842
Podman Podman是什么? Podman 是一个无守护、开源的 Linux 本地工具,旨在使用 open Containers Initiative (OCI) 让容器和镜像更加方便地查找、运行、构建、共享和部署应用程序。Podman 提供了一个命令行接口(CLI),任何使用过 Docker 容器引擎的人都能很快上手 podman。大多数用户可以简单地将 Podman 别名为 Docker (alias Docker = Podman),没有任何问题。与其他常见的容器引擎 (Docker、CRI-
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值