通过docker cli 源码跟踪docker镜像签名

最新推荐文章于 2024-07-14 18:10:57 发布
最新推荐文章于 2024-07-14 18:10:57 发布
阅读量605 收藏 1
点赞数
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuguokun1986/article/details/99117625
版权

Docker代码更新很快,Docker项目更名为moby,然后很多组件又从moby中拆分了出来。其中docker client的源码如下:
https://github.com/docker/cli 目前最新的版本是18.09,可直接下载或通过gitclone下载。将项目放在如下目录:cli-master

1、入口文件在cmd/docker/docker.go

func main() {	
     dockerCli, err := command.NewDockerCli()
	if err != nil {
		fmt.Fprintln(os.Stderr, err)
		os.Exit(1)
	}
	logrus.SetOutput(dockerCli.Err())
	if err := runDocker(dockerCli); err != nil {
		if sterr, ok := err.(cli.StatusError); ok {
			if sterr.Status != "" {	
			fmt.Fprintln(dockerCli.Err(), sterr.Status)
			}
			// StatusError should only be used for errors, and all errors should
			// have a non-zero exit status, so never exit with 0
			if sterr.StatusCode == 0 {
				os.Exit(1)
			}
			os.Exit(sterr.StatusCode)
		}
		fmt.Fprintln(dockerCli.Err(), err)
		os.Exit(1)
	}
}

2、跳到上面的runDocker(dockerCli)函数中:

func newDockerCommand(dockerCli *command.DockerCli) *cobra.Command {
    opts := cliflags.NewClientOptions()
    var flags *pflag.FlagSet

    cmd := &cobra.Command{
        Use:              "docker [OPTIONS] COMMAND [ARG...]",
        Short:            "A self-sufficient runtime for containers",
        SilenceUsage:     true,
        SilenceErrors:    true,
        TraverseChildren: true,
        Args:             noArgs,
        RunE: func(cmd *cobra.Command, args []string) error {
            return command.ShowHelp(dockerCli.Err())(cmd, args)
        },
        PersistentPreRunE: func(cmd *cobra.Command, args []string) error {
            // flags must be the top-level command flags, not cmd.Flags()
            opts.Common.SetDefaultOptions(flags)
            dockerPreRun(opts)
            if err := dockerCli.Initialize(opts); err != nil {
                return err
            }
            return isSupported(cmd, dockerCli)
        },
        Version:               fmt.Sprintf("%s, build %s", cli.Version, cli.GitCommit),
        DisableFlagsInUseLine: true,
    }
    //将cmd里的设置为root命令
    cli.SetupRootCommand(cmd)

    flags = cmd.Flags()
    flags.BoolP("version", "v", false, "Print version information and quit")
    flags.StringVar(&opts.ConfigDir, "config", cliconfig.Dir(), "Location of client config files")
    opts.Common.InstallFlags(flags)

    setFlagErrorFunc(dockerCli, cmd, flags, opts)

    setHelpFunc(dockerCli, cmd, flags, opts)

    cmd.SetOutput(dockerCli.Out())
    //添加子命令,cmd里是root命令
    commands.AddCommands(cmd, dockerCli)

    disableFlagsInUseLine(cmd)
    setValidateArgs(dockerCli, cmd, flags, opts)

    return cmd
}

3、commands.AddCommands(cmd, dockerCli)跳转到cli/command/commands/commands.go

func AddCommands(cmd *cobra.Command, dockerCli command.Cli) {
   cmd.AddCommand(
       // checkpoint
       checkpoint.NewCheckpointCommand(dockerCli),

       // config
       config.NewConfigCommand(dockerCli),

       // container
       container.NewContainerCommand(dockerCli),
       container.NewRunCommand(dockerCli),

       // image
       image.NewImageCommand(dockerCli),
       image.NewBuildCommand(dockerCli),

       // builder
       builder.NewBuilderCommand(dockerCli),

       // manifest
       manifest.NewManifestCommand(dockerCli),

       // network
       network.NewNetworkCommand(dockerCli),

       // node
       node.NewNodeCommand(dockerCli),

       // plugin
       plugin.NewPluginCommand(dockerCli),

       // registry
       registry.NewLoginCommand(dockerCli),
       registry.NewLogoutCommand(dockerCli),
       registry.NewSearchCommand(dockerCli),

       // secret
       secret.NewSecretCommand(dockerCli),

       // service
       service.NewServiceCommand(dockerCli),

       // system
       system.NewSystemCommand(dockerCli),
       system.NewVersionCommand(dockerCli),

       // stack
       stack.NewStackCommand(dockerCli),
       stack.NewTopLevelDeployCommand(dockerCli),

       // swarm
       swarm.NewSwarmCommand(dockerCli),

       // trust
       trust.NewTrustCommand(dockerCli),

       // volume
       volume.NewVolumeCommand(dockerCli),

       // legacy commands may be hidden
       hide(system.NewEventsCommand(dockerCli)),
       hide(system.NewInfoCommand(dockerCli)),
       hide(system.NewInspectCommand(dockerCli)),
       hide(container.NewAttachCommand(dockerCli)),
       hide(container.NewCommitCommand(dockerCli)),
       hide(container.NewCopyCommand(dockerCli)),
       hide(container.NewCreateCommand(dockerCli)),
       hide(container.NewDiffCommand(dockerCli)),
       hide(container.NewExecCommand(dockerCli)),
       hide(container.NewExportCommand(dockerCli)),
       hide(container.NewKillCommand(dockerCli)),
       hide(container.NewLogsCommand(dockerCli)),
       hide(container.NewPauseCommand(dockerCli)),
       hide(container.NewPortCommand(dockerCli)),
       hide(container.NewPsCommand(dockerCli)),
       hide(container.NewRenameCommand(dockerCli)),
       hide(container.NewRestartCommand(dockerCli)),
       hide(container.NewRmCommand(dockerCli)),
       hide(container.NewStartCommand(dockerCli)),
       hide(container.NewStatsCommand(dockerCli)),
       hide(container.NewStopCommand(dockerCli)),
       hide(container.NewTopCommand(dockerCli)),
       hide(container.NewUnpauseCommand(dockerCli)),
       hide(container.NewUpdateCommand(dockerCli)),
       hide(container.NewWaitCommand(dockerCli)),
       hide(image.NewHistoryCommand(dockerCli)),
       hide(image.NewImagesCommand(dockerCli)),
       hide(image.NewImportCommand(dockerCli)),
       hide(image.NewLoadCommand(dockerCli)),
       hide(image.NewPullCommand(dockerCli)),
       hide(image.NewPushCommand(dockerCli)),
       hide(image.NewRemoveCommand(dockerCli)),
       hide(image.NewSaveCommand(dockerCli)),
       hide(image.NewTagCommand(dockerCli)),
   )
   if runtime.GOOS == "linux" {
       // engine
       cmd.AddCommand(engine.NewEngineCommand(dockerCli))
   }
}
4、通过 image.NewImageCommand(dockerCli),跳转到cli/command/image/cmd.go

  func NewImageCommand(dockerCli command.Cli) *cobra.Command {
    cmd := &cobra.Command{
        Use:   "image",
        Short: "Manage images",
        Args:  cli.NoArgs,
        RunE:  command.ShowHelp(dockerCli.Err()),
    }
    cmd.AddCommand(
        NewBuildCommand(dockerCli),
        NewHistoryCommand(dockerCli),
        NewImportCommand(dockerCli),
        NewLoadCommand(dockerCli),
        NewPullCommand(dockerCli),
        NewPushCommand(dockerCli),
        NewSaveCommand(dockerCli),
        NewTagCommand(dockerCli),
        newListCommand(dockerCli),
        newRemoveCommand(dockerCli),
        newInspectCommand(dockerCli),
        NewPruneCommand(dockerCli),
    )
    return cmd
}    

5、通过    NewPushCommand(dockerCli)进行跳转cli/command/image/push.go

func NewPushCommand(dockerCli command.Cli) *cobra.Command 
	var opts pushOptions
	cmd := &cobra.Command{
		Use:   "push [OPTIONS] NAME[:TAG]",
		Short: "Push an image or a repository to a registry",
		Args:  cli.ExactArgs(1),
		RunE: func(cmd *cobra.Command, args []string) error {
			opts.remote = args[0]
			return RunPush(dockerCli, opts)
		},
	}
	flags := cmd.Flags()
	command.AddTrustSigningFlags(flags, &opts.untrusted, dockerCli.ContentTrustEnabled())
	return cmd
}

func RunPush(dockerCli command.Cli, opts pushOptions) error {

ref, err := reference.ParseNormalizedNamed(opts.remote)

if err != nil {

return err

}

// Resolve the Repository name from fqn to RepositoryInfo

repoInfo, err := registry.ParseRepositoryInfo(ref)

if err != nil {

return err

}

ctx := context.Background()

// Resolve the Auth config relevant for this server

authConfig := command.ResolveAuthConfig(ctx, dockerCli, repoInfo.Index)

requestPrivilege := command.RegistryAuthenticationPrivilegedFunc(dockerCli, repoInfo.Index, "push")

//通过opts.untrusted判断是否对进行进行签名

if !opts.untrusted {

return TrustedPush(ctx, dockerCli, repoInfo, ref, authConfig, requestPrivilege)

}

// TrustedPush handles content trust pushing of an image

通过TrustedPush(ctx, dockerCli, repoInfo, ref, authConfig, requestPrivilege)跳转到cli/command/image/trust.go

func TrustedPush(ctx context.Context, cli command.Cli, repoInfo *registry.RepositoryInfo, ref reference.Named, authConfig types.AuthConfig, requestPrivilege types.RequestPrivilegeFunc) error {
	responseBody, err := imagePushPrivileged(ctx, cli, authConfig, ref, requestPrivilege)	if err != nil {
		return err
}	
defer responseBody.Close()	
return PushTrustedReference(cli, repoInfo, ref, authConfig, responseBody)
}

通过PushTrustedReference完成与notary的通信,完成镜像的签名。

RunPush函数中还有另外一个方法:

responseBody, err := imagePushPrivileged(ctx, dockerCli, authConfig, ref, requestPrivilege)	
 
if err != nil {
		
    return err	
}

通过imagePushPrivileged方法将镜像推送到registry中

 

xuguokun1986
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker Content Trust + 镜像签名”,打造安全的 Kubernetes 供应链!
Docker公司
03-21 2197
出品丨Docker公司(ID:docker-cn)编译丨小东每周一、三、五晚6点10分  与您不见不散说在前面两周前,我们分享了一篇名为“镜像扫描+基于策略的镜像提升”,打造安全的 Kubernetes 供应链!的文章,它主要介绍了 Docker EE 的镜像扫描和基于策略的镜像提升功能为 Kubernetes 软件供应链提供持续、安全的保护。今天,我将为大家带来打造安全的 Kubernetes
docker 导出复制镜像 导入镜像 查看镜像签名
AntHub的博客
08-07 600
docker 导出复制镜像 导入镜像 查看镜像签名
探索Docker Notary:安全的镜像签名与验证工具
最新发布
Innocence_0的博客
07-14 1064
Docker Notary是Docker生态系统中的重要组件,它构建在Framework)之上,用于确保Docker镜像的安全性和完整性。Notary允许开发者对Docker镜像进行签名,并且让终端用户能够验证这些镜像未经篡改。这样,用户就可以信任他们拉取并运行的镜像是来自预期的源头,且未被第三方恶意修改。DockerNotary为容器安全带来了重要的提升,无论是对于开发者还是用户,都是值得信赖的工具。
如何给 Docker 镜像进行安全签名
easylife206的专栏
02-06 2754
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !幸运的是,Docker 通过一种称为 Docker 内容信任的功能来实现信任机制。在网络系统之间传输数据时...
容器镜像签名
SHELLCODE_8BIT的博客
04-18 474
(译)用 Notary 和 OPA 在 Kubernetes 上使用内容签名 - 云+社区 - 腾讯云 如何给 Docker 镜像进行安全签名_运维之美的博客-CSDN博客
docker 删除映像_使用签名保护您的Docker映像
weixin_26722031的博客
07-31 521
docker删除映像With Docker dominating the delivery workflow, it’s become imperative that your container images can be trusted. How can your users be sure that the image content they’re downloading is what ...
javawebservice源码-dockstore:我们的VM/Docker共享基础架构和管理组件
06-11
webservice源码 码头商店 Dockstore 为用户提供了一个共享用 Docker 封装并使用通用工作流语言 (CWL)、WDL(工作流描述语言)、Nextflow 或 Galaxy 描述的工具的地方。 这使科学家们能够共享分析工作流程,使其机器...
java8看不到源码-ansible-docker-talk:ansible-docker-talk
06-04
看不到源码ansible-docker-talk 您可以在此处找到我于 2018 年 11 月 21 日在明斯特的“JUG Münster”上发表的演讲“Es muss nicht gleich Docker sein - IT Automation, die zu einem passt”的幻灯片和示例代码。...
alpine-php:适用于5.6、7、7.1、7.2、7.3、7.4和8.0PHP Docker容器中的Alpine
02-05
存储库 基于Alpine的最小PHP Docker映像。 包含用于开发环境的标签,并适用于和等各种框架。... 例如:对于OSX,XDEBUG_CLIENT_HOST = docker.for.mac;对于Windows用户和Linux用户,XDEBUG_CLIENT_HOST =
word源码java-file-share-platform:教学资源共享平台
06-05
word源码java file-share-platform 教学资源共享平台 使用前后端分离的架构,前端代码仓库: 后端基于 SpringBoot,前端基于 Vue-cli 功能介绍 实现文件的上传、下载、预览功能。 支持录入选择题、简答题,并支持...
java8看不到源码-sns:假亚马逊SNS
06-04
看不到源码 假社交网络 用于测试的伪造 Amazon Simple Notification Service (SNS)。 支持: 创建/列出/删除主题 订阅端点 发布消息 订阅持久化 与(假)SQS、文件、HTTP、RabbitMQ、Slack 集成 用法 码头工人 基于...
搭建Docker私有仓库(自签名方式)
09-30
为了能集中管理我们创建好的镜像,方便部署服务,我们会创建私有的Docker仓库。这篇文章主要介绍了搭建Docker私有仓库(自签名方式),具有一定的参考价值,感兴趣的小伙伴们可以参考一下
docker-cli 源码编译调试
blake321的博客
10-14 771
1 源码下载编译 1.1 源码下载 仓库地址:https://github.com/docker/cli.git 关于下载速度慢的解决办法,我所用的一般有两个, 把仓库导入到gitee上去,一般有名的仓库已经有了,直接搜索就行 下载 dev-sidecar进行加速,https://github.com/docmirror/dev-sidecar.git, 注意目前有坑,即开启插件后,不用了需要手动关闭,直接关机的话会导致下次开机 需要修复一下网络 1.2 源码编译 下载完代码后,安装readme执行 do
容器入门(8) - 镜像签名
多恩斯基的博客
08-12 1400
http://redhatgov.io/workshops/security_container_intro/lab07-signing/
容器镜像签名思考
SHELLCODE_8BIT的博客
04-18 391
解决什么问题 1.镜像在流转中被篡改 2.仓库被攻破,镜像被篡改 3.镜像仓库地址被劫持
使用docker搭建自签名https服务器
Fighter168的专栏
11-01 1603
实验简述 使用docker的centos镜像,在里面安装nginx,然后拿自生成的签名,配置nginx证书,最后通过https访问服务器 docker版本:Docker version 18.09.2, build 6247962 centos 镜像docker search 里面检索出来拿最新的就可以了 nginx版本:nginx-1.15.9 pcre版本:pcre-8.42 ssl证书:...
Docker 镜像签名将如何随着 Notary v2 发展
学海无涯苦作舟的博客
12-17 683
签名Docker 镜像通过让用户检查他们下载的镜像是否真正来自您来增强生态系统的信任和安全性。尽管签名有明显的好处,但 Docker 用户的使用速度很慢,并且默认情况下未启用。 现在,公证人签名系统的新版本试图改变这一点。2019 年 12 月成立了多供应商工作组,以改善图像签名体验并解决原始实施中的一些问题。Notary v2于2021 年 10 月以 alpha形式发布。以下是它如何使签名与现代容器使用模式更加兼容。 什么是Notary ? Notary 是 Docker 于 2015 年开始的.
CentOS7 Docker安装教程:快速部署FastDFS
你可以通过 `docker pull` 命令从 Docker Hub 获取 FastDFS 的官方镜像,或者从 GitHub 下载源码自行构建。在构建镜像时,确保包含了所有必要的配置和依赖,例如 Java 环境,因为 FastDFS 可能会与 Java 应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值