我们计划在 Azure 内容注册表中启用内容信任,以便我们可以将签名的图像推送到存储库以供消费者使用。但我有几个疑问?
- 启用内容信任后,用户仍然可以提取现有图像吗?
- 启用内容信任后,我可以将签名和未签名的图像都推送到注册表吗?
有人可以就此提出建议吗?
谢谢
问问题
112 次
1 回答
1
如果在 Azure 容器注册表中启用内容信任,则存储库可能同时具有已签名和未签名的映像。
从文档:
内容信任适用于存储库中的标签。图像存储库可以包含带有签名和未签名标签的图像。例如,您可能只签署 myimage:stable 和 myimage:latest 图像,而不签署 myimage:dev。
重要的一点是,只有具有该AcrImageSigner角色的用户才能将签名图像推送到注册表。
只有您授予权限的用户或系统才能将受信任的图像推送到您的注册表。若要向用户(或使用服务主体的系统)授予受信任的图像推送权限,请向其 Azure Active Directory 身份授予 AcrImageSigner 角色。这是将图像推送到注册表所需的 AcrPush(或等效)角色的补充。
而对于拉取不可信镜像的能力,如果客户端在 Docker 上激活内容信任,他只能拉取可信镜像。但是,如果他仍然想要一个不受信任的图像,我们可以添加--disable-content-trust到 pull 命令。
于 2020-05-21T17:55:35.863 回答