Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Реестр контейнеров Azure отменит доверие содержимого Docker (DCT) 31 марта 2028 г. Чтобы помочь в этом переходе, эта статья содержит рекомендации по отключению DCT и внедрению нотаричного проекта для подписывания и проверки образов контейнеров.
Устаревание DCT
DCT позволяет издателям образов подписывать образы и дают возможность потребителям изображений проверять подпись на образы. Благодаря усовершенствованиям технологий DCT больше не соответствует требованиям современной безопасности цепочки поставок для контейнеров. В результате отмена DCT началась 31 марта 2025 года. DCT будет полностью удален из реестра контейнеров Azure 31 марта 2028 г.
В качестве альтернативы DCT корпорация Майкрософт предлагает решения для подписывания и проверки на основе нотаричного проекта. Нотарийный проект — это набор спецификаций и инструментов, которые предоставляют кроссиндустрионные стандарты для защиты цепочек поставок программного обеспечения с помощью подлинных образов контейнеров и других артефактов Open Container Initiative (OCI).
Нотация, средство из нотаричного проекта, реализует спецификации нотаричного проекта. Он включает интерфейс командной строки (CLI) и библиотеки для подписывания и проверки образов контейнеров и артефактов. Преимущества использования решений нотаричного проекта для обеспечения целостности и подлинности образов контейнеров:
- Переносимость и взаимодействие: подписи нотарного проекта соответствуют стандартам OCI и могут храниться в реестрах, совместимых с OCI, таких как Реестр контейнеров. Эти возможности упрощают переносимость подписей и взаимодействие между облачными средами.
- Безопасное управление ключами. Azure Key Vault можно использовать для управления ключами подписывания и сертификатами.
- Интеграция с конвейерами непрерывной интеграции и непрерывной доставки (CI/CD): внедрение подписания в конвейеры CI/CD, включая рабочие процессы Azure DevOps и GitHub.
- Комплексная проверка. Проверка образов контейнеров в конвейерах CI/CD (например, в рабочих процессах Azure DevOps и GitHub) и в службе Azure Kubernetes (AKS) для предотвращения использования и развертывания ненадежных образов.
Отключение DCT
Прежде чем перейти к решениям проекта Notation, необходимо отключить DCT. Используйте любой из следующих методов:
Отключите DCT из оболочки, установив для переменной
DOCKER_CONTENT_TRUSTсреды значение0. Например, в оболочке Bash используйте следующую команду:export DOCKER_CONTENT_TRUST=0Кроме того, можно отменить настройку переменной среды:
unset DOCKER_CONTENT_TRUSTОтключите DCT на портале Azure. Перейдите в реестр, а затем в разделе Политики выберите Доверие к содержимому>Отключено>Сохранить.
Отключите DCT с помощью Azure CLI:
az acr config content-trust update -r myregistry --status disabled
Используйте Notary Project для подписывания и проверки образов контейнеров
После отключения DCT можно подписать и проверить образы контейнеров с помощью Notary Project. Чтобы приступить к работе, используйте следующие ссылки.
Подпишите образы контейнеров
- Сведения об использовании Key Vault с самозаверяемыми сертификатами см. в статье Подписывание образов контейнеров с помощью Нотации, Azure Key Vault и самозаверяющего сертификата.
- Сведения об использовании Key Vault с сертификатами, выданными центром сертификации (ЦС), см. в статье Подписывание образов контейнеров с помощью Нотации, Azure Key Vault и выданного ЦС сертификата.
- Чтобы войти в конвейеры Azure DevOps, см. статью Подписание и проверка образа контейнера с помощью Notation в конвейере Azure.
- Сведения о входе в рабочие процессы GitHub см. в статье "Подписывание образа контейнера с помощью нотации" в GitHub Actions.
Проверьте образы контейнеров:
- Сведения о проверке в конвейерах Azure DevOps см. Подписывание и проверка образа контейнера с помощью обозначений в конвейере Azure.
- Сведения о проверке в рабочих процессах GitHub см. в статье "Проверка образа контейнера с помощью нотации" в GitHub Actions.
- Информацию о проверке подписей образов контейнера в AKS см. в статье «Проверка подписей образов контейнера с помощью Ratify и политики Azure».