Kubernetes验证容器镜像

2023-12-21 75

随着容器镜像的广泛使用，如何确保这些镜像的安全性和完整性成为了一个重要的问题。为了解决这个问题，Kubernetes引入了一种名为签名镜像（Signed Images）的特性，它可以验证容器镜像是否已经被正确地签名。那么，如何在Kubernetes中验证已签名的容器镜像呢？

一、准备

需要安装以下工具：

cosign
curl（通常由你的操作系统提供）
jq

二、验证二进制签名

Kubernetes 发布过程使用 cosign 的无密钥签名对所有二进制工件（压缩包、 SPDX 文件、独立的二进制文件）签名。要验证一个特定的二进制文件，获取组件时要包含其签名和证书：

URL=https://dl.k8s.io/release/v1.29.0/bin/linux/amd64

BINARY=kubectl

FILES=(

"$BINARY"

"$BINARY.sig"

"$BINARY.cert"

)

for FILE in "${FILES[@]}"; do

curl -sSfL --retry 3 --retry-delay 3 "$URL/$FILE" -o "$FILE"

done

URL=https://dl.k8s.io/release/v1.29.0/bin/linux/amd64 BINARY=kubectl FILES=( "$BINARY" "$BINARY.sig" "$BINARY.cert" ) for FILE in "${FILES[@]}"; do curl -sSfL --retry 3 --retry-delay 3 "$URL/$FILE" -o "$FILE" done

URL=https://dl.k8s.io/release/v1.29.0/bin/linux/amd64
BINARY=kubectl

FILES=(
    "$BINARY"
    "$BINARY.sig"
    "$BINARY.cert"
)

for FILE in "${FILES[@]}"; do
    curl -sSfL --retry 3 --retry-delay 3 "$URL/$FILE" -o "$FILE"
done

然后使用 cosign verify-blob 验证二进制文件：

cosign verify-blob "$BINARY" \

--signature "$BINARY".sig \

--certificate "$BINARY".cert \

--certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \

--certificate-oidc-issuer https://accounts.google.com

cosign verify-blob "$BINARY" \ --signature "$BINARY".sig \ --certificate "$BINARY".cert \ --certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \ --certificate-oidc-issuer https://accounts.google.com

cosign verify-blob "$BINARY" \
  --signature "$BINARY".sig \
  --certificate "$BINARY".cert \
  --certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \
  --certificate-oidc-issuer https://accounts.google.com

注意：

Cosign 2.0 需要指定 –certificate-identity 和 –certificate-oidc-issuer 选项；
Cosign 的早期版本还需要设置 COSIGN_EXPERIMENTAL=1。

三、验证镜像签名

从这个列表中选择一个镜像，并使用 cosign verify 命令来验证它的签名：

cosign verify registry.k8s.io/kube-apiserver-amd64:v1.29.0 \

--certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \

--certificate-oidc-issuer https://accounts.google.com \

| jq .

cosign verify registry.k8s.io/kube-apiserver-amd64:v1.29.0 \ --certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \ --certificate-oidc-issuer https://accounts.google.com \ | jq .

cosign verify registry.k8s.io/kube-apiserver-amd64:v1.29.0 \
--certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \
--certificate-oidc-issuer https://accounts.google.com \
| jq .

1、验证所有控制平面组件镜像

验证最新稳定版（v1.29.0）所有已签名的控制平面组件镜像，请运行以下命令：

curl -Ls "https://sbom.k8s.io/$(curl -Ls https://dl.k8s.io/release/stable.txt)/release" \

| grep "SPDXID: SPDXRef-Package-registry.k8s.io" \

| grep -v sha256 | cut -d- -f3- | sed 's/-/\//' | sed 's/-v1/:v1/' \

| sort > images.txt

input=images.txt

while IFS= read -r image

cosign verify "$image" \

--certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \

--certificate-oidc-issuer https://accounts.google.com \

| jq .

done < "$input"

curl -Ls "https://sbom.k8s.io/$(curl -Ls https://dl.k8s.io/release/stable.txt)/release" \ | grep "SPDXID: SPDXRef-Package-registry.k8s.io" \ | grep -v sha256 | cut -d- -f3- | sed 's/-/\//' | sed 's/-v1/:v1/' \ | sort > images.txt input=images.txt while IFS= read -r image do cosign verify "$image" \ --certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \ --certificate-oidc-issuer https://accounts.google.com \ | jq . done < "$input"

curl -Ls "https://sbom.k8s.io/$(curl -Ls https://dl.k8s.io/release/stable.txt)/release" \
  | grep "SPDXID: SPDXRef-Package-registry.k8s.io" \
  | grep -v sha256 | cut -d- -f3- | sed 's/-/\//' | sed 's/-v1/:v1/' \
  | sort > images.txt
input=images.txt
while IFS= read -r image
do
  cosign verify "$image" \
    --certificate-identity krel-trust@k8s-releng-prod.iam.gserviceaccount.com \
    --certificate-oidc-issuer https://accounts.google.com \
    | jq .
done < "$input"

当完成某个镜像的验证时，可以在 Pod 清单通过摘要值来指定该镜像，例如：

registry-url/image-name@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2

registry-url/image-name@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2

四、验证镜像签名

有一些非控制平面镜像（例如 conformance 镜像），也可以在部署时使用 sigstore policy-controller 控制器验证其签名。

五、验证软件物料清单

可以使用 sigstore 证书和签名或相应的 SHA 文件来验证 Kubernetes 软件物料清单（SBOM）：

# 检索最新可用的 Kubernetes 发行版本

VERSION=$(curl -Ls https://dl.k8s.io/release/stable.txt)

# 验证 SHA512 sum

curl -Ls "https://sbom.k8s.io/$VERSION/release" -o "$VERSION.spdx"

echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha512") $VERSION.spdx" | sha512sum --check

# 验证 SHA256 sum

echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha256") $VERSION.spdx" | sha256sum --check

# 检索 sigstore 签名和证书

curl -Ls "https://sbom.k8s.io/$VERSION/release.sig" -o "$VERSION.spdx.sig"

curl -Ls "https://sbom.k8s.io/$VERSION/release.cert" -o "$VERSION.spdx.cert"

# 验证 sigstore 签名

cosign verify-blob \

--certificate "$VERSION.spdx.cert" \

--signature "$VERSION.spdx.sig" \

--certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \

--certificate-oidc-issuer https://accounts.google.com \

"$VERSION.spdx"

# 检索最新可用的 Kubernetes 发行版本 VERSION=$(curl -Ls https://dl.k8s.io/release/stable.txt) # 验证 SHA512 sum curl -Ls "https://sbom.k8s.io/$VERSION/release" -o "$VERSION.spdx" echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha512") $VERSION.spdx" | sha512sum --check # 验证 SHA256 sum echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha256") $VERSION.spdx" | sha256sum --check # 检索 sigstore 签名和证书 curl -Ls "https://sbom.k8s.io/$VERSION/release.sig" -o "$VERSION.spdx.sig" curl -Ls "https://sbom.k8s.io/$VERSION/release.cert" -o "$VERSION.spdx.cert" # 验证 sigstore 签名 cosign verify-blob \ --certificate "$VERSION.spdx.cert" \ --signature "$VERSION.spdx.sig" \ --certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \ --certificate-oidc-issuer https://accounts.google.com \ "$VERSION.spdx"

# 检索最新可用的 Kubernetes 发行版本
VERSION=$(curl -Ls https://dl.k8s.io/release/stable.txt)

# 验证 SHA512 sum
curl -Ls "https://sbom.k8s.io/$VERSION/release" -o "$VERSION.spdx"
echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha512") $VERSION.spdx" | sha512sum --check

# 验证 SHA256 sum
echo "$(curl -Ls "https://sbom.k8s.io/$VERSION/release.sha256") $VERSION.spdx" | sha256sum --check

# 检索 sigstore 签名和证书
curl -Ls "https://sbom.k8s.io/$VERSION/release.sig" -o "$VERSION.spdx.sig"
curl -Ls "https://sbom.k8s.io/$VERSION/release.cert" -o "$VERSION.spdx.cert"

# 验证 sigstore 签名
cosign verify-blob \
    --certificate "$VERSION.spdx.cert" \
    --signature "$VERSION.spdx.sig" \
    --certificate-identity krel-staging@k8s-releng-prod.iam.gserviceaccount.com \
    --certificate-oidc-issuer https://accounts.google.com \
    "$VERSION.spdx"