Compartilhar via


Confiança de Conteúdo do Docker

Azure DevOps Services

Com o DCT (Docker Content Trust, Confiança de Conteúdo do Docker), você pode usar assinaturas digitais para dados enviados para registros remotos do Docker e recebidos deles. Com essas assinaturas, o cliente ou o runtime pode fazer a verificação da integridade e do editor de tags de imagem específicas.

Observação

Um pré-requisito para assinar uma imagem é um Registro do Docker com um servidor Notary anexado (exemplos incluem Docker Hub ou Registro de Contêiner do Azure).

Assinatura de imagens no Azure Pipelines

Pré-requisitos no computador de desenvolvimento

  1. Use o gerador interno de confiança do Docker ou gere manualmente o par de chaves de delegação. Se o gerador interno for usado, a chave privada de delegação será importada para o repositório de confiança local do Docker. Caso contrário, ela precisará ser importada manualmente para lá. Confira Gerando chaves manualmente para obter detalhes.
  2. Usando a chave de delegação gerada da etapa acima, carregue a primeira chave em uma delegação e inicie o repositório.

Dica

Para exibir a lista de chaves de delegação locais, use a CLI do Notary para executar o seguinte comando: $ notary key list.

Configurar o pipeline para assinatura de imagens

  1. Pegue a chave privada de delegação, que está no repositório confiável local do Docker no computador de desenvolvimento usado anteriormente, e adicione-a como um arquivo seguro em Pipelines.

  2. Autorize esse arquivo seguro para uso em todos os pipelines.

  3. A entidade de serviço associada a containerRegistryServiceConnection deve ter a função AcrImageSigner no registro do contêiner de destino.

  4. Crie um pipeline com base no seguinte snippet de código YAML:

    pool:
      vmImage: 'Ubuntu 16.04'
    
    variables:
      system.debug: true
      containerRegistryServiceConnection: serviceConnectionName
      imageRepository: foobar/content-trust
      tag: test
    
    steps:
    - task: Docker@2
      inputs:
        command: login
        containerRegistry: $(containerRegistryServiceConnection)
    
    - task: DownloadSecureFile@1
      name: privateKey
      inputs:
        secureFile: cc8f3c6f998bee63fefaaabc5a2202eab06867b83f491813326481f56a95466f.key
    - script: |
        mkdir -p $(DOCKER_CONFIG)/trust/private
        cp $(privateKey.secureFilePath) $(DOCKER_CONFIG)/trust/private
    
    - task: Docker@2
      inputs:
        command: build
        Dockerfile: '**/Dockerfile'
        containerRegistry: $(containerRegistryServiceConnection)
        repository: $(imageRepository)
        tags: |
          $(tag)
        arguments: '--disable-content-trust=false'
    
    - task: Docker@2
      inputs: 
        command: push
        containerRegistry: $(containerRegistryServiceConnection)
        repository: $(imageRepository)
        tags: |
          $(tag)
        arguments: '--disable-content-trust=false'
      env:
        DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE: $(DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE)
    

    No exemplo anterior, a variável DOCKER_CONFIG é definida pelo comando login na tarefa Docker. Recomendamos que você configure DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE como uma variável secreta para seu pipeline. A abordagem alternativa para uma variável de pipeline no YAML expõe a frase secreta em texto sem formatação. DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE neste exemplo, refere-se à frase secreta da chave privada (não à frase secreta do repositório). Só precisamos da frase secreta da chave privada deste exemplo, pois o repositório já foi iniciado (pré-requisitos).