容器服务 Cerberus 说明-TKE 标准集群指南-文档中心-腾讯云

组件介绍
Cerberus 组件支持对签名镜像进行可信验证，确保在 TKE 集群中只部署可信授权方签名的容器镜像，降低在容器环境中的镜像安全风险。
部署在集群内的 Kubernetes 对象
Kubernetes 对象名称
类型
请求资源
所属 Namespace
cerberus-webhook
Deployment
每个实例 CPU 0.5C，Memory 0.5G，共1个实例
tcr-verification
cerberus-webhook
Service
-
tcr-verification
cerberus-webhook
Configmap
-
tcr-verification
cerberus-webhook
Secret
-
tcr-verification
cerberus-webhook
validatingwebhookconfigurations
-
-
cerberus-rolebinding
ClusterRoleBinding
-
-
cerberus-role
ClusterRole
-
-
cerberus-controller
ServiceAccount
-
-
限制条件
TKE 集群版本 = 1.18。
开通并使用 TCR 高级版 容器镜像签名 功能后，才可在 TKE 集群中为已加签的镜像进行验签。
验签需要提前授权容器服务角色拥有使用 TCR 接口的权限。
组件权限说明
权限说明
该组件权限是当前功能实现的最小权限依赖。
需要支持镜像验签功能，所以需要 tcr.tencentcloudcr.com/verifications 的 create、 delete、get、list、patch、update、watch 权限。
不涉及 secret 等资源的敏感权限。
权限定义
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  creationTimestamp: null
  name: cerberus-role
rules:
  - apiGroups:
      - tcr.tencentcloudcr.com
    resources:
      - verifications
    verbs:
      - create
      - delete
      - get
      - list
      - patch
      - update
      - watch
  - apiGroups:
      - tcr.tencentcloudcr.com
    resources:
      - verifications/finalizers
    verbs:
      - update
  - apiGroups:
      - tcr.tencentcloudcr.com
    resources:
      - verifications/status
    verbs:
      - get
      - patch
      - update
使用方法
授权容器服务使用 TCR 查询接口
为让 TKE 服务可以读取到您账号下的签名信息，需要在您的账号配置如下策略。
1. 登录 访问管理控制台。
2. 在角色页面，单击 TCR_QCSRole。
3. 在 TCR_QCSRole 角色详情页，关联预设策略 QcloudTCRReadOnlyAccess，如下图所示：
﻿
﻿
安装组件并配置验签策略
1. 登录 容器服务控制台，在左侧导航栏中选择集群。
2. 在集群列表中，单击目标集群 ID，进入集群详情页。
3. 选择左侧菜单栏中的组件管理，在组件管理页面单击新建。
4. 在新建组件管理页面中勾选 Cerberus 组件并进行签名验证策略的参数配置，说明如下：
﻿
﻿
策略名称：请为验签策略设置合理名称。
命名空间：请选择当前验签策略生效的 Kubernetes 命名空间，每个验签策略仅对一个命名空间生效。
证明者：证明者将定位到镜像加签时所采用的 KMS 密钥，可通过该字段确保镜像签名来源的可信性。
地域：选择 TCR 镜像仓库实例所在的地域，和 TKE 集群所在地域无强制关联性。
TCR 实例：选择 TCR 镜像仓库实例。
签名策略：选择已经创建的签名策略。签名策略和镜像签名时使用的 KMS 密钥相对应，支持选择多个签名策略。
5. 单击确定完成组件创建。
说明
组件创建时则验签策略生效，未通过签名验证的镜像将部署失败。为保障 TKE 基础服务的正常运行，请不要为 TKE 系统组件所在的命名空间（如 kube-system）设置验签策略。
若您需要为集群中相同 Kubernetes 命名空间绑定不同 TCR 仓库实例下的签名策略，可在当前验签策略中新增证明者；若您需要为集群的多个 kubernetes 命名空间都设置镜像签名验证，可直接添加策略。
镜像签名验证
1. 登录 容器服务控制台，在左侧导航栏中选择集群。
2. 在集群列表中，单击目标集群 ID，进入集群详情页。
3. 选择左侧菜单栏中的工作负载，单击新建。
4. 在新建工作负载页，配置实例内容器 > 镜像时，选择待部署的已经加签的容器镜像及镜像版本（Tag），同时勾选摘要（SHA256），如下图所示：
﻿
﻿
5. 单击完成创建工作负载部署。若签名验证通过，则 Pod 将正常部署；若签名验证不通过，则 Pod 部署将被阻断，相关 event 信息展示如下图所示：
若拉取镜像所在 TCR 仓库实例下未开启镜像签名特性，则报错如下：
 
﻿
﻿
若拉取镜像没有签名信息，则报错如下：
 
﻿
﻿
若拉取镜像的签名信息验证不通过，则报错如下：
 
﻿
﻿
说明：
镜像签名验证目前只支持使用 digest 格式的镜像，否则会验证不通过。
﻿

Kubernetes 对象名称	类型	请求资源	所属 Namespace
cerberus-webhook	Deployment	每个实例 CPU 0.5C，Memory 0.5G，共1个实例	tcr-verification
cerberus-webhook	Service	-	tcr-verification
cerberus-webhook	Configmap	-	tcr-verification
cerberus-webhook	Secret	-	tcr-verification
cerberus-webhook	validatingwebhookconfigurations	-	-
cerberus-rolebinding	ClusterRoleBinding	-	-
cerberus-role	ClusterRole	-	-
cerberus-controller	ServiceAccount	-	-

Cerberus 说明

本页目录：

组件介绍

部署在集群内的 Kubernetes 对象

限制条件

组件权限说明

权限说明

权限定义

使用方法

授权容器服务使用 TCR 查询接口

安装组件并配置验签策略

镜像签名验证