Fitur penandatanganan gambar kontainer mendukung penandatanganan dan verifikasi tanda tangan gambar kontainer. Fitur ini memastikan bahwa hanya gambar kontainer tepercaya yang diterapkan, mencegah peluncuran gambar tidak sah, serta meningkatkan keamanan aset Anda.
Batasan pada edisi
Beli instance berlangganan: Fitur ini hanya tersedia untuk akun Alibaba Cloud yang telah membeli Edisi Ultimate dan telah melampirkan otorisasi Edisi Ultimate ke server.
Aktifkan fitur bayar sesuai pemakaian: Fitur ini hanya tersedia untuk server yang telah melampirkan otorisasi Edisi Ultimate.
Prasyarat
Kunci master pelanggan (CMK) dibuat menggunakan Key Management Service (KMS). CMK didasarkan pada algoritma enkripsi asimetris. Untuk informasi lebih lanjut tentang cara membuat KMS CMK, lihat Buat CMK.
PentingHanya algoritma kunci asimetris yang mendukung fitur penandatanganan gambar kontainer. Saat membuat KMS CMK, atur Key Spec ke RSA_2048 dan Purpose ke Sign/Verify. Untuk informasi lebih lanjut tentang algoritma kunci yang didukung oleh KMS CMK, lihat Deskripsi Algoritma Enkripsi yang Didukung oleh KMS.
Klaster Kubernetes dibuat, dan komponen kritis-validation-hook diinstal di klaster.
Untuk informasi lebih lanjut tentang cara membuat klaster Kubernetes, lihat Buat Klaster Khusus ACK (tidak lagi tersedia).
Untuk informasi lebih lanjut tentang komponen kritis-validation-hook, lihat Pengenalan Komponen Kritis-Validation-Hook.
Jika ini adalah pertama kalinya Anda menggunakan fitur penandatanganan gambar kontainer, Anda harus memberikan Security Center izin yang diperlukan untuk mengakses layanan Alibaba Cloud terkait.
Prosedur
Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China. Di panel navigasi sisi kiri, pilih .
Opsional:Di tab Witness, buat saksi.
Jika Anda telah membuat saksi, lewati langkah ini dan lanjutkan ke Langkah 3.
Jika belum, Anda dapat mengklik Create a witness di tab Witness. Di panel yang muncul, konfigurasikan parameter dan klik OK.
Parameter
Deskripsi
Saksi
Masukkan nama saksi. Saat Anda mengonfigurasi kebijakan keamanan, Anda harus memilih saksi untuk mengaktifkan fitur penandatanganan gambar kontainer untuk kontainer yang diperlukan. Kami sarankan Anda memasukkan nama yang informatif.
Pilih Sertifikat
Pilih KMS CMK yang Anda buat dari daftar sertifikat.
Deskripsi
Masukkan deskripsi saksi.
Di tab Security Policy, klik Add Policy. Di panel yang muncul, konfigurasikan parameter dan klik OK.
Parameter
Deskripsi
Nama Kebijakan
Masukkan nama kebijakan keamanan. Saat Anda mengonfigurasi kebijakan keamanan, Anda harus memilih saksi untuk mengaktifkan fitur kontainer untuk klaster yang diperlukan.
Kami sarankan Anda memasukkan nama yang informatif.
Saksi
Pilih saksi yang Anda buat dari daftar saksi.
Klaster Aplikasi
Pilih grup klaster tempat Anda ingin mengaktifkan fitur penandatanganan gambar kontainer. Lalu, pilih Cluster Namespace yang diperlukan.
Kebijakan Diaktifkan
Aktifkan saklar. Kebijakan secara otomatis diaktifkan setelah dibuat.
CatatanSaklar dimatikan secara default. Dalam hal ini, kebijakan tidak berlaku setelah dibuat.
Catatan
Masukkan deskripsi kebijakan keamanan.
Setelah Anda membuat dan mengaktifkan kebijakan keamanan untuk kontainer, fitur penandatanganan gambar kontainer berlaku pada kontainer yang Anda pilih saat mengonfigurasi kebijakan keamanan. Gambar kontainer berdasarkan mana kontainer dibuat dilabeli sebagai Trusted Image.