内容信任自动化(引擎) | Automation with content trust (Engine)
内容信任的自动化
您的自动化系统拉取或构建镜像也可以信任。DOCKER_CONTENT_TRUST
在处理镜像之前,任何自动化环境都必须手动设置或以脚本方式设置。
绕过密码短语的请求
要允许工具打包docker并推送可信内容,有两个环境变量允许您提供没有期望脚本的密码短语,或者输入它们:
DOCKER_CONTENT_TRUST_ROOT_PASSPHRASE
DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE
Docker尝试将这些环境变量的内容用作密钥的密码。例如,图像发布者可以导出存储库target
和snapshot
密码短语:
$ export DOCKER_CONTENT_TRUST_ROOT_PASSPHRASE="u7pEQcGoebUHm6LHe6"
$ export DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE="l7pEQcTKJjUHm6Lpe4"
然后,在推送新标签时,Docker客户端不会请求这些值,而是自动标记:
$ docker push docker/trusttest:latest
The push refers to a repository [docker.io/docker/trusttest] (len: 1)
a9539b34a6ab: Image already exists
b3dbab3810fc: Image already exists
latest: digest: sha256:d149ab53f871 size: 3355
Signing and pushing trust metadata
直接使用公证客户端时,它将使用自己的一组环境变量。
内容信任构建
您也可以使用内容信任进行构建。在运行docker build
命令之前,您应该DOCKER_CONTENT_TRUST
手动或以脚本方式设置环境变量。考虑下面的简单Dockerfile。
FROM docker/trusttest:latest
RUN echo
FROM
标签被拉动签署图像。您无法构建具有FROM
本地或未签署的图像。鉴于标记存在内容信任数据latest
,以下构建应该成功:
$ docker build -t docker/trusttest:testing .
Using default tag: latest
latest: Pulling from docker/trusttest
b3dbab3810fc: Pull complete
a9539b34a6ab: Pull complete
Digest: sha256:d149ab53f871
如果启用了内容信任,则从依赖于标记而没有信任数据的Dockerfile构建,会导致构建命令失败:
$ docker build -t docker/trusttest:testing .
unable to process Dockerfile: No trust data for notrust
相关信息
- Docker中的内容信任
- 管理内容信任的密钥
- 内容信任代表团
- 在内容信任沙箱中播放