驗證已簽署的 Kubernetes 構件
功能狀態:
Kubernetes v1.26 [beta]開始之前
您需要安裝下列工具
驗證二進位簽章
Kubernetes 發行程序會使用 cosign 的無金鑰簽署來簽署所有二進位構件 (tarball、SPDX 檔案、獨立二進位檔)。若要驗證特定二進位檔,請同時擷取它及其簽章和憑證
URL=https://dl.k8s.io/release/v1.32.0/bin/linux/amd64
BINARY=kubectl
FILES=(
"$BINARY"
"$BINARY.sig"
"$BINARY.cert"
)
for FILE in "${FILES[@]}"; do
curl -sSfL --retry 3 --retry-delay 3 "$URL/$FILE" -o "$FILE"
done
然後使用 cosign verify-blob 驗證 Blob
cosign verify-blob "$BINARY" \
--signature "$BINARY".sig \
--certificate "$BINARY".cert \
--certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \
--certificate-oidc-issuer https://127.0.0.1
注意
Cosign 2.0 需要 --certificate-identity 和 --certificate-oidc-issuer 選項。
若要深入瞭解無金鑰簽署,請參閱 無金鑰簽章。
先前版本的 Cosign 要求您設定 COSIGN_EXPERIMENTAL=1。
如需其他資訊,請參閱 sigstore 博客
驗證映像檔簽章
如需已簽署映像檔的完整清單,請參閱發行版本。
從此清單中挑選一個映像檔,並使用 cosign verify 命令驗證其簽章
cosign verify registry.k8s.io/kube-apiserver-amd64:v1.32.0 \
--certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \
--certificate-oidc-issuer https://127.0.0.1 \
| jq .
驗證所有控制平面元件的映像檔
若要驗證最新穩定版本 (v1.32.0) 的所有已簽署控制平面映像檔,請執行下列命令
curl -Ls "https://sbom.k8s.io/$(curl -Ls https://dl.k8s.io/release/stable.txt)/release" \
| grep "SPDXID: SPDXRef-Package-registry.k8s.io" \
| grep -v sha256 | cut -d- -f3- | sed 's/-/\//' | sed 's/-v1/:v1/' \
| sort > images.txt
input=images.txt
while IFS= read -r image
do
cosign verify "$image" \
--certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \
--certificate-oidc-issuer https://127.0.0.1 \
| jq .
done < "$input"
驗證映像檔後,您可以依照此範例,在 Pod 清單中使用其摘要來指定映像檔
registry-url/image-name@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2
如需更多資訊,請參閱映像檔提取原則章節。
使用許可控制器驗證映像檔簽章
對於非控制平面映像檔 (例如一致性映像檔),也可以在部署時使用sigstore policy-controller許可控制器來驗證簽章。
以下是一些有用的資源,可協助您開始使用 policy-controller
驗證軟體物料清單
您可以使用 sigstore 憑證和簽章,或對應的 SHA 檔案來驗證 Kubernetes 軟體物料清單 (SBOM)
# Retrieve the latest available Kubernetes release version
VERSION=$(curl -Ls https://dl.k8s.io/release/stable.txt)
# Verify the SHA512 sum
curl -Ls "https://sbom.k8s.io/$VERSION/release" -o "$VERSION.spdx"
echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha512") $VERSION.spdx" | sha512sum --check
# Verify the SHA256 sum
echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha256") $VERSION.spdx" | sha256sum --check
# Retrieve sigstore signature and certificate
curl -Ls "https://sbom.k8s.io/$VERSION/release.sig" -o "$VERSION.spdx.sig"
curl -Ls "https://sbom.k8s.io/$VERSION/release.cert" -o "$VERSION.spdx.cert"
# Verify the sigstore signature
cosign verify-blob \
--certificate "$VERSION.spdx.cert" \
--signature "$VERSION.spdx.sig" \
--certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \
--certificate-oidc-issuer https://127.0.0.1 \
"$VERSION.spdx"
上次修改時間為太平洋標準時間 2024 年 9 月 17 日下午 1:06:Update verify-signed-artifacts.md (db70855a55)