Kubernetes 허용 컨트롤러 정보
아티팩트 증명을 사용하면 빌드한 소프트웨어에 대해 수정할 수 없는 출처 및 무결성 보장을 생성할 수 있습니다. 따라서 소프트웨어를 사용하는 사용자는 소프트웨어가 빌드된 위치와 방법을 확인할 수 있습니다.
Kubernetes 허용 컨트롤러는 Kubernetes API 서버의 동작을 제어하는 플러그 인입니다. 일반적으로 Kubernetes 클러스터에서 보안 정책 및 모범 사례를 적용하는 데 사용됩니다.
오픈 소스 Sigstore Policy Controller 프로젝트를 사용하여 아티팩트 증명을 적용할 수 있는 허용 컨트롤러를 Kubernetes 클러스터에 추가할 수 있습니다. 이렇게 하면 유효한 증명이 있는 아티팩트만 배포할 수 있습니다.
컨트롤러를 설치하기 위해 두 개의 Helm 차트를 제공합니다. 하나는 Sigstore Policy Controller를 배포하고 다른 하나는 GitHub 트러스트 루트 및 기본 정책을 로드하기 위한 것입니다.
이미지 확인 정보
정책 컨트롤러가 설치되면 모든 이미지 끌어오기 요청을 가로채고 이미지에 대한 증명을 확인합니다. 증명은 증명의 유효성을 검사하는 데 사용되는 증명 및 암호화 자료(예: 인증서 및 서명)를 포함하는 Sigstore 번들을 포함하는 OCI 부착 아티팩트로 이미지 레지스트리에 저장되어야 합니다. 그런 다음, 이미지가 지정된 빌드 출처로 빌드되었는지 확인하고 클러스터 관리자가 사용하도록 설정한 정책과 일치하는지 확인하는 확인 프로세스가 수행됩니다.
이미지의 유효성을 검증하려면 레지스트리에 유효한 출처 증명이 있어야 하며, 이 증명은 actions/attest-build-provenance 작업에서 push-to-registry: true 특성을 사용하도록 설정하여 수행할 수 있습니다. 컨테이너 이미지의 증명을 생성하는 방법에 대한 자세한 내용은 컨테이너 이미지의 빌드 출처 생성을 참조하세요.
신뢰 루트 및 정책 정보
Sigstore Policy Controller는 주로 사용자 지정 리소스 TrustRoot 및 ClusterImagePolicy로 표현되는 신뢰 루트와 정책으로 구성됩니다. TrustRoot는 증명을 확인하는 데 사용되는 공개 키 자료의 신뢰할 수 있는 배포 채널을 나타냅니다. ClusterImagePolicy는 이미지에 증명을 적용하기 위한 정책을 나타냅니다.
또한 TrustRoot는 TUF 리포지토리 루트를 포함할 수 있으므로 클러스터가 신뢰할 수 있는 공개 키 자료에 대한 업데이트를 지속적으로 안전하게 받을 수 있습니다. 지정되지 않은 상태로 두면 ClusterImagePolicy는 기본적으로 오픈 소스 Sigstore Public Good Instance의 키 자료를 사용합니다. 프라이빗 리포지토리에 대해 생성된 증명을 확인할 때 ClusterImagePolicy는 GitHub TrustRoot를 참조해야 합니다.
다음 단계
허용 컨트롤러를 사용할 준비가 완료되면 Kubernetes 허용 컨트롤러를 사용하여 아티팩트 증명 적용을(를) 참조하세요.