Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Container Registry drar tillbaka Docker Content Trust (DCT) den 31 mars 2028. För att hjälpa till med den här övergången innehåller den här artikeln vägledning för hur du inaktiverar DCT och använder Notary Project för att signera och verifiera containeravbildningar.
DCT-utfasning
DCT gör det möjligt för bildutgivare att signera sina bilder och gör det möjligt för bildkonsumenter att verifiera att bilderna de hämtar är signerade. Med tekniska framsteg uppfyller DCT inte längre kraven på modern säkerhet i leveranskedjan för containrar. Därför startade utfasningen av DCT den 31 mars 2025. DCT tas bort helt från Azure Container Registry den 31 mars 2028.
Som ett alternativ till DCT erbjuder Microsoft signerings- och verifieringslösningar baserade på Notary Project. Notary Project är en uppsättning specifikationer och verktyg som tillhandahåller en branschspecifik standard för att skydda programvaruförsörjningskedjor med hjälp av autentiska containeravbildningar och andra OCI-artefakter (Open Container Initiative).
Notation, ett verktyg från Notary Project, implementerar notarieprojektspecifikationer. Den innehåller ett kommandoradsgränssnitt (CLI) och bibliotek för signering och verifiering av containeravbildningar och artefakter. Fördelarna med att använda Notary Project-lösningarna för att säkerställa integriteten och äktheten hos containeravbildningar är:
- Portabilitet och samverkan: Notarieprojektsignaturer följer OCI-standarder och kan lagras i OCI-kompatibla register som Container Registry. Dessa funktioner underlättar signaturportabilitet och samverkan mellan molnmiljöer.
- Säker nyckelhantering: Du kan använda Azure Key Vault för att hantera dina signeringsnycklar och certifikat.
- Integrering med CI/CD-pipelines (kontinuerlig integrering och kontinuerlig leverans): Implementera signering i dina CI/CD-pipelines, inklusive Azure DevOps- och GitHub-arbetsflöden.
- Omfattande verifiering: Verifiera containeravbildningar i dina CI/CD-pipelines (till exempel Azure DevOps- och GitHub-arbetsflöden) och i Azure Kubernetes Service (AKS) för att förhindra användning och distribution av ej betrodda avbildningar.
Inaktivera DCT
Innan du kan övergå till lösningarna för Notation Project måste du inaktivera DCT. Använd någon av följande metoder:
Inaktivera DCT från gränssnittet genom att ange
DOCKER_CONTENT_TRUSTmiljövariabeln till0. I Bash-gränssnittet använder du till exempel det här kommandot:export DOCKER_CONTENT_TRUST=0Du kan också ta bort miljövariabeln:
unset DOCKER_CONTENT_TRUSTInaktivera DCT från Azure-portalen. Gå till registret och välj sedan Innehållsförtroende>> under Principer.
Inaktivera DCT med hjälp av Azure CLI:
az acr config content-trust update -r myregistry --status disabled
Använd Notary Project för att signera och verifiera containeravbildningar
När du har inaktiverat DCT kan du signera och verifiera containeravbildningar med hjälp av Notary Project. Använd följande referenser för att komma igång.
Signera containeravbildningar:
- Information om hur du använder Key Vault med självsignerade certifikat finns i Signera containeravbildningar med hjälp av Notation, Azure Key Vault och ett självsignerat certifikat.
- Information om hur du använder Key Vault med certifikat som utfärdats av en certifikatutfärdare (CA) finns i Signera containeravbildningar med hjälp av Notation, Azure Key Vault och ett CA-utfärdat certifikat.
- Information om hur du loggar in Azure DevOps-pipelines finns i Signera och verifiera en containeravbildning med hjälp av Notation i en Azure-pipeline.
- Information om hur du loggar in GitHub-arbetsflöden finns i Signera en containeravbildning med hjälp av Notation i GitHub Actions.
Verifiera containeravbildningar:
- Information om hur du verifierar i Azure DevOps-pipelines finns i Signera och verifiera en containeravbildning med hjälp av Notation i en Azure-pipeline.
- Information om hur du verifierar i GitHub-arbetsflöden finns i Verifiera en containeravbildning med hjälp av Notation i GitHub Actions.
- Information om hur du verifierar i AKS finns i Verifiera containeravbildningssignaturer med hjälp av Ratify och Azure Policy.