Contrôleur d'admission Kubernetes

Comprenez comment vous pouvez utiliser un contrôleur d'admission pour appliquer les attestations d'artefacts dans votre cluster Kubernetes.

Dans cet article

À propos du contrôleur d’admission Kubernetes

Les attestations d’artefact vous permettent de créer des garanties de provenance et d’intégrité non vérifiables pour le logiciel que vous créez. En retour, les personnes qui utilisent votre logiciel peuvent vérifier où et comment il a été conçu.

Les contrôleurs d’admission Kubernetes sont des plug-ins qui régissent le comportement du serveur d’API Kubernetes. Ils sont couramment utilisés pour appliquer les stratégies de sécurité et les meilleures pratiques dans un cluster Kubernetes.

À l’aide du projet open source du contrôleur de stratégie Sigstore, vous pouvez ajouter un contrôleur d’admission à votre cluster Kubernetes pouvant appliquer des attestations d’artefact. Ainsi, vous pouvez vous assurer que seuls les artefacts dotés d’attestations valides pourront être déployés.

Pour installer le contrôleur, nous proposons deux graphiques Helm : un pour le déploiement du contrôleur de stratégie Sigstore, et un autre pour le chargement de la racine de confiance GitHub et d’une stratégie par défaut.

À propos de la vérification d’image

Lorsque le contrôleur de stratégie est installé, il intercepte toutes les demandes de tirage d’image et vérifie l’attestation de l’image. L’attestation doit être stockée dans le registre d’images en tant que artefact attaché à OCI contenant un Pack Sigstore qui contient l’attestation et le matériel cryptographique (par exemple, les certificats et les signatures) utilisés pour vérifier l’attestation. Un processus de vérification est ensuite exécuté pour s’assurer que l’image a été générée avec la provenance spécifiée et qu’elle correspond aux stratégies activées par l’administrateur du cluster.

Pour qu’une image soit vérifiable, elle doit avoir une attestation de provenance valide dans le registre, ce qui peut être fait en activant l’attribut push-to-registry: true dans l’action actions/attest-build-provenance. Consultez Générer la provenance de build pour les images de conteneurs pour plus de détails sur la façon de générer des attestations pour les images de conteneurs.

À propos des racines de confiance et des stratégies

Le contrôleur de stratégie Sigstore est principalement configuré avec des racines de confiance et des stratégies, représentées par les ressources personnalisées TrustRoot et ClusterImagePolicy. Une TrustRoot représente un canal de distribution approuvé pour le matériel de clé publique utilisé pour vérifier les attestations. Une ClusterImagePolicy représente une stratégie permettant d’appliquer des attestations sur des images.

Une TrustRoot peut également contenir une racine de référentiel TUF, ce qui permet à votre cluster de recevoir en permanence et en toute sécurité des mises à jour de son matériel de clé publique approuvé. Si elle n’est pas spécifiée, une ClusterImagePolicy utilise par défaut le matériel clé open source de Sigstore Public Good Instance. Lors de la vérification des attestations générées pour les référentiels privés, la ClusterImagePolicy doit se référer à la TrustRoot de GitHub.

Étapes suivantes

Lorsque vous êtes prêt à utiliser un contrôleur d’admission, consultez Application d’attestations d’artefact avec un contrôleur d’admission Kubernetes.