验证已签名的 Kubernetes 工件
特性状态:
Kubernetes v1.26 [beta]开始之前
你需要安装以下工具
验证二进制签名
Kubernetes 发布过程使用 cosign 的无密钥签名对所有二进制工件(tarball、SPDX 文件、独立二进制文件)进行签名。要验证特定的二进制文件,请将其与其签名和证书一起检索。
URL=https://dl.k8s.io/release/v1.32.0/bin/linux/amd64
BINARY=kubectl
FILES=(
"$BINARY"
"$BINARY.sig"
"$BINARY.cert"
)
for FILE in "${FILES[@]}"; do
curl -sSfL --retry 3 --retry-delay 3 "$URL/$FILE" -o "$FILE"
done
然后使用 cosign verify-blob 验证 blob。
cosign verify-blob "$BINARY" \
--signature "$BINARY".sig \
--certificate "$BINARY".cert \
--certificate-identity [email protected] \
--certificate-oidc-issuer https://127.0.0.1
注意
Cosign 2.0 需要 --certificate-identity 和 --certificate-oidc-issuer 选项。
要了解有关无密钥签名的更多信息,请参阅 无密钥签名。
以前版本的 Cosign 要求你设置 COSIGN_EXPERIMENTAL=1。
有关更多信息,请参阅 sigstore 博客。
验证镜像签名
有关已签名镜像的完整列表,请参阅 发布。
从此列表中选择一个镜像,并使用 cosign verify 命令验证其签名。
cosign verify registry.k8s.io/kube-apiserver-amd64:v1.32.0 \
--certificate-identity [email protected] \
--certificate-oidc-issuer https://127.0.0.1 \
| jq .
验证所有控制平面组件的镜像
要验证最新稳定版本 (v1.32.0) 的所有已签名控制平面镜像,请运行以下命令。
curl -Ls "https://sbom.k8s.io/$(curl -Ls https://dl.k8s.io/release/stable.txt)/release" \
| grep "SPDXID: SPDXRef-Package-registry.k8s.io" \
| grep -v sha256 | cut -d- -f3- | sed 's/-/\//' | sed 's/-v1/:v1/' \
| sort > images.txt
input=images.txt
while IFS= read -r image
do
cosign verify "$image" \
--certificate-identity [email protected] \
--certificate-oidc-issuer https://127.0.0.1 \
| jq .
done < "$input"
验证镜像后,你可以在 Pod 清单中通过其摘要指定镜像,如以下示例所示。
registry-url/image-name@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2
有关更多信息,请参阅 镜像拉取策略 部分。
使用准入控制器验证镜像签名
对于非控制平面镜像(例如 一致性镜像),也可以在部署时使用 sigstore policy-controller 准入控制器验证签名。
以下是一些有助于你开始使用 policy-controller 的有用资源
验证软件物料清单
你可以使用 sigstore 证书和签名,或相应的 SHA 文件来验证 Kubernetes 软件物料清单 (SBOM)。
# Retrieve the latest available Kubernetes release version
VERSION=$(curl -Ls https://dl.k8s.io/release/stable.txt)
# Verify the SHA512 sum
curl -Ls "https://sbom.k8s.io/$VERSION/release" -o "$VERSION.spdx"
echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha512") $VERSION.spdx" | sha512sum --check
# Verify the SHA256 sum
echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha256") $VERSION.spdx" | sha256sum --check
# Retrieve sigstore signature and certificate
curl -Ls "https://sbom.k8s.io/$VERSION/release.sig" -o "$VERSION.spdx.sig"
curl -Ls "https://sbom.k8s.io/$VERSION/release.cert" -o "$VERSION.spdx.cert"
# Verify the sigstore signature
cosign verify-blob \
--certificate "$VERSION.spdx.cert" \
--signature "$VERSION.spdx.sig" \
--certificate-identity [email protected] \
--certificate-oidc-issuer https://127.0.0.1 \
"$VERSION.spdx"
上次修改时间为太平洋标准时间 2024 年 9 月 17 日下午 1:06:更新 verify-signed-artifacts.md (db70855a55)