镜像签名和验签功能可避免中间人攻击和非法镜像的更新及运行,进而实现镜像从分发到部署的全链路一致性。
容器镜像签名
腾讯云容器镜像服务(Tencent Container Registry,TCR)企业版支持开启命名空间级别的镜像自动签名特性,在推送镜像到仓库时自动匹配签名策略并完成加签动作,保障您仓库下的镜像内容可信。相关操作文档请查看 容器镜像签名。
镜像签名验证
腾讯云容器服务(Tencent Kubernetes Engine,TKE)提供镜像签名验证组件 Cerberus,支持对签名镜像进行可信验证,确保在 TKE 集群中只部署可信授权方签名的容器镜像,降低在容器环境中的镜像安全风险。相关操作文档请查看 Cerberus 组件。
