Nahánět a vyžádat artefakty dodavatelského řetězce pomocí privátního registru kontejnerů v Azure (Preview)

Pomocí registru kontejnerů Azure můžete ukládat a spravovat graf artefaktů, včetně podpisů, faktury za software (SBoM), výsledků kontroly zabezpečení nebo jiných typů.

Graph artefaktů, včetně image kontejneru, podpisu a podepsaného softwarového vyúčtování

Pro předvedení této funkce tento článek ukazuje, jak pomocí nástroje OCI Registry as Storage (ORAS) nasazuje graf artefaktů do registru kontejnerů Azure a vyžádá si ho.

Podpora Artifacts ORAS je funkce Preview, která podléhá omezením. Vyžaduje zónovou redundanci, která je dostupná na Premium úrovni služby. Informace o úrovních a omezeních služby registru najdete v Azure Container Registry úrovních služby.

Požadavky

 • ROZHRANÍ příkazového řádku ORAS – Rozhraní příkazového řádku ORAS umožňuje nasaovat, zjišťovat a natahovat artefakty do registru s povoleným Artifacts ORAS.
 • Azure CLI – K vytvoření identity, zobrazení seznamu a odstranění úložišť potřebujete místní instalaci Azure CLI. Doporučuje se verze 2.29.1 nebo novější. Verzi az --version zjistíte spuštěním . Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.
 • Docker (volitelné) – K dokončení tohoto návodu se odkazuje na image kontejneru. Místně nainstalovaný Docker můžete použít k sestavení a na push image kontejneru nebo k odkazování na existující image kontejneru. Docker nabízí balíčky pro snadnou konfiguraci Dockeru v libovolném systému macOS, Windows nebo Linux.

Omezení verze Preview

Podpora Artifacts ORAS je omezená na USA – středojih oblasti s podporou zóny dostupnosti.

 • Geograficky replikované registry nebudou replikovat odkazované artefakty do jiných oblastí. Protože další oblasti podporují funkce ORAS Artifacts, odkazované artefakty se replikují.

Instalace ORAS

Stáhněte a nainstalujte verzi Preview ORAS pro váš operační systém. Informace o tom, jak extrahovat a nainstalovat soubor pro váš operační systém, najdete v tématu Pokyny k instalaci ORAS s odkazem na sestavení Alpha.1 Preview z GitHub ORAS.

Konfigurace privátního registru

Nakonfigurujte proměnné prostředí pro snadné kopírování a vkládání příkazů do prostředí. Příkazy je možné spustit v Azure Cloud Shell

ACR_NAME=myregistry
REGISTRY=$ACR_NAME.azurecr.io
REPO=net-monitor
TAG=v1
IMAGE=$REGISTRY/${REPO}:$TAG

Vytvoření skupiny prostředků

V případě potřeby spuštěním příkazu az group create vytvořte skupinu prostředků pro registr.

az group create --name $ACR_NAME --location southcentralus

Vytvoření registru s povoleným artefaktem ORAS

Podpora verze Preview pro Artifacts ORAS vyžaduje zónovou redundanci, která Premium úrovni služby v USA – středojih oblasti. Spuštěním příkazu az acr create vytvořte registr ORAS s povoleným Artifacts ORAS. Další možnosti az acr create registru najdete v nápovědě k příkazům.

az acr create \
 --resource-group $ACR_NAME \
 --name $ACR_NAME \
 --zone-redundancy enabled \
 --sku Premium \
 --output jsonc

Ve výstupu příkazu si poznamenejte zoneRedundancy vlastnost registru. Pokud je tento registr povolený, je zónově redundantní a artefakt ORAS povolený:

{
 [...]
 "zoneRedundancy": "Enabled",
}

Přihlášení pomocí Azure CLI

Přihlaste se k Azure CLI pomocí své identity a nasapište a stáhněte artefakty z registru kontejneru.

Pak pro přístup k registru použijte příkaz Azure CLI az acr login.

az login
az acr login --name $ACR_NAME

Poznámka

az acr loginpoužívá klienta Dockeru k nastavení Azure Active Directory tokenu v docker.config souboru . Klient Dockeru musí být nainstalovaný a spuštěný, aby se dokončil individuální tok ověřování.

Přihlášení pomocí ORAS

V této části jsou uvedeny možnosti pro přihlášení k registru. Zvolte metodu vhodnou pro vaše prostředí.

Spusťte oras login příkaz k ověření v registru. Můžete předat přihlašovací údaje registru vhodné pro váš scénář, jako jsou přihlašovací údaje objektu služby, identita uživatele nebo token v rámci úložiště (Preview).

 • Ověřte se pomocí své individuální identity Azure AD a použijte token AD.

  USER_NAME="00000000-0000-0000-0000-000000000000"
  PASSWORD=$(az acr login --name $ACR_NAME --expose-token --output tsv --query accessToken)
  
 • Ověřování pomocí tokenu v oboru úložiště (Preview) pro použití tokenů, které nejsou založené na AD.

  USER_NAME="oras-token"
  PASSWORD=$(az acr token create -n $USER_NAME \
           -r $ACR_NAME \
           --repository $REPO content/write \
           --only-show-errors \
           --query "credentials.passwords[0].value" -o tsv)
  
 • Ověřte se pomocí Azure Active Directory služby s oprávněními pro čtení a nabízení (role AcrPush) v registru.

  SERVICE_PRINCIPAL_NAME="oras-sp"
  ACR_REGISTRY_ID=$(az acr show --name $ACR_NAME --query id --output tsv)
  PASSWORD=$(az ad sp create-for-rbac --name $SERVICE_PRINCIPAL_NAME \
       --scopes $(az acr show --name $ACR_NAME --query id --output tsv) \
        --role acrpush \
       --query "password" --output tsv)
  USER_NAME=$(az ad sp list --display-name $SERVICE_PRINCIPAL_NAME --query "[].appId" --output tsv)
  

Přihlášení pomocí ORAS

Zadejte přihlašovací údaje do oras login .

oras login $REGISTRY \
 --username $USER_NAME \
 --password $PASSWORD

Ke čtení hesla z Stdin použijte --password-stdin .

Nas nabízené image kontejneru

Tento příklad přidruží graf artefaktů k ibitové kopii kontejneru. Sestavíte a nas nabízené image kontejneru nebo odkašete na existující image v privátním registru.

docker build -t $IMAGE https://github.com/wabbit-networks/net-monitor.git#main
docker push $IMAGE

Vytvoření ukázkového podpisu pro image kontejneru

echo '{"artifact": "'${IMAGE}'", "signature": "pat hancock"}' > signature.json

Na push podpis do registru, jako odkaz na image kontejneru

Příkaz ORAS předá podpis do úložiště a prostřednictvím parametru odkazuje na jiný subject artefakt. poskytuje --artifact-type pro různé artefakty, podobně jako přípony souborů, které povolují různé typy souborů. Jeden nebo více souborů je možné nahánět zadáním file:mediaType

oras push $REGISTRY/$REPO \
  --artifact-type 'signature/example' \
  --subject $IMAGE \
  ./signature.json:application/json

Další informace o nabízených oznámeních oras najdete v dokumentaci k ORAS.

Nabízení artefaktu s více soubory jako odkazu

Vytvoření dokumentace k artefaktu

echo 'Readme Content' > readme.md
echo 'Detailed Content' > readme-details.md

Nasazte artefakt s více soubory jako referenci.

oras push $REGISTRY/$REPO \
  --artifact-type 'readme/example' \
  --subject $IMAGE \
  ./readme.md:application/markdown \
  ./readme-details.md:application/markdown

Zjišťování odkazů na artefakty

Specifikace ORAS Artifacts [referenční rozhraní API][oras-artifacts-referrers] pro zjišťování odkazů na subject artefakt. Příkaz oras discover může zobrazit seznam odkazů na image kontejneru.

Pomocí oras discover zobrazte graf artefaktů, které jsou teď uložené v registru.

oras discover -o tree $IMAGE

Výstup ukazuje začátek grafu artefaktů, kde se podpis a dokumenty zobrazují jako děti image kontejneru.

myregistry.azurecr.io/net-monitor:v1
├── signature/example
│  └── sha256:555ea91f39e7fb30c06f3b7aa483663f067f2950dcb...
└── readme/example
  └── sha256:1a118663d1085e229ff1b2d4d89b5f6d67911f22e55...

Vytvoření hlubokých grafů artefaktů

Specifikace ORAS Artifacts umožňuje hluboké grafy a umožňuje podepsané softwarové vyúčtování (SBoM) a další typy artefaktů.

Vytvoření ukázkového SBoM

echo '{"version": "0.0.0.0", "artifact": "'${IMAGE}'", "contents": "good"}' > sbom.json

Nas nabízené ukázkové SBoM do registru

oras push $REGISTRY/$REPO \
 --artifact-type 'sbom/example' \
 --subject $IMAGE \
 ./sbom.json:application/json

Podepsání SBoM

Artifacts které jsou naháněny jako odkazy, obvykle nemají značky, protože jsou považovány za součást artefaktu předmětu. Pokud chcete nahánět podpis do artefaktu, který je podřízený jinému artefaktu, pomocí filtrování oras discover --artifact-type vyhledejte hodnotu hash.

SBOM_DIGEST=$(oras discover -o json \
        --artifact-type sbom/example \
        $IMAGE | jq -r ".references[0].digest")

Vytvoření podpisu SBoM

echo '{"artifact": "'$REGISTRY/${REPO}@$SBOM_DIGEST'", "signature": "pat hancock"}' > sbom-signature.json

Nas nabízené oznámení signatury SBoM

oras push $REGISTRY/$REPO \
 --artifact-type 'signature/example' \
 --subject $REGISTRY/$REPO@$SBOM_DIGEST \
 ./sbom-signature.json:application/json

Zobrazení grafu

oras discover -o tree $IMAGE

Vygeneruje následující výstup:

myregistry.azurecr.io/net-monitor:v1
├── signature/example
│  └── sha256:555ea91f39e7fb30c06f3b7aa483663f067f2950dcb...
├── readme/example
│  └── sha256:1a118663d1085e229ff1b2d4d89b5f6d67911f22e55...
└── sbom/example
  └── sha256:4280eef9adb632b42cf200e7cd5a822a456a558e4f3142da6b...
    └── signature/example
      └── sha256:a31ab875d37eee1cca68dbb14b2009979d05594d44a075bdd7...

Vyžádat odkazovaný artefakt

Pokud chcete vyžádat odkazovaný typ, pomocí příkazu se zobrazí přehled oras discover odkazů.

DOC_DIGEST=$(oras discover -o json \
       --artifact-type 'readme/example' \
       $IMAGE | jq -r ".references[0].digest")

Vytvoření čistého adresáře pro stažení

mkdir ./download

Přetáhněte dokumenty do adresáře pro stahování.

oras pull -a -o ./download $REGISTRY/$REPO@$DOC_DIGEST

Zobrazení dokumentace

ls ./download

Zobrazení výpisu úložiště a značek

Funkce ORAS Artifacts umožňuje nasazování, hledání, kopírování a kopírování grafů artefaktů bez nutnosti přiřazovat značky. Díky tomu se výpis značek může soustředit na artefakty, o které uživatelé popřemýšlí, na rozdíl od podpisů a objektů SBoM přidružených k imagi kontejnerů, grafům Helm a dalším artefaktům.

Zobrazení seznamu značek

az acr repository show-tags \
 -n $ACR_NAME \
 --repository $REPO \
 -o jsonc

Zobrazení seznamu manifestů

Úložiště může mít seznam manifestů, které jsou označené i neoznamované.

az acr repository show-manifests \
 -n $ACR_NAME \
 --repository $REPO \
 --detail -o jsonc

Všimněte si, že manifesty image kontejneru mají "tags":

{
 "architecture": "amd64",
 "changeableAttributes": {
  "deleteEnabled": true,
  "listEnabled": true,
  "readEnabled": true,
  "writeEnabled": true
 },
 "configMediaType": "application/vnd.docker.container.image.v1+json",
 "createdTime": "2021-11-12T00:18:54.5123449Z",
 "digest": "sha256:a0fc570a245b09ed752c42d600ee3bb5b4f77bbd70d8898780b7ab4...",
 "imageSize": 2814446,
 "lastUpdateTime": "2021-11-12T00:18:54.5123449Z",
 "mediaType": "application/vnd.docker.distribution.manifest.v2+json",
 "os": "linux",
 "tags": [
  "v1"
 ]
}

Podpis není označen, ale je sledován jako oras.artifact.manifest odkaz na image kontejneru.

{
 "changeableAttributes": {
  "deleteEnabled": true,
  "listEnabled": true,
  "readEnabled": true,
  "writeEnabled": true
 },
 "createdTime": "2021-11-12T00:19:10.987156Z",
 "digest": "sha256:555ea91f39e7fb30c06f3b7aa483663f067f2950dcbcc0b0d...",
 "imageSize": 85,
 "lastUpdateTime": "2021-11-12T00:19:10.987156Z",
 "mediaType": "application/vnd.cncf.oras.artifact.manifest.v1+json"
}

Odstranění všech artefaktů v grafu

Podpora specifikace ORAS Artifacts umožňuje odstranit graf artefaktů přidružených ke kořenovému artefaktu. Pomocí příkazu az acr repository delete odstraňte podpis, SBoM a podpis SBoM.

az acr repository delete \
 -n $ACR_NAME \
 -t ${REPO}:$TAG -y

Zobrazení zbývajících manifestů

az acr repository show-manifests \
 -n $ACR_NAME \
 --repository $REPO \
 --detail -o jsonc

Další kroky

 • Další informace o rozhraní příkazového řádku ORAS
 • Přečtěte si další informace o Artifacts ORAS a zjistěte, jak nasadávat, zjišťovat a kopírovat graf artefaktů dodavatelského řetězce.