Включение доверия к контенту в Azure повлияет на существующие образы в реестре?
Мы планируем включить доверие к контенту в реестре контента Azure, чтобы мы могли отправлять подписанные образы в репозиторий для использования потребителями. Но у меня мало сомнений?
- Могут ли пользователи получать существующие изображения после включения доверия к контенту?
- Как только я включу доверие к контенту, могу ли я отправить в реестр как подписанные, так и неподписанные изображения?
Кто-нибудь может посоветовать по этому поводу?
Спасибо
1 ответ
Если вы включите доверие к контенту в реестре контейнеров Azure, репозиторий может иметь как подписанный, так и неподписанный образ.
Из документов:
Доверие контента работает с тегами в репозитории. Репозитории изображений могут содержать изображения как с подписанными, так и с неподписанными тегами. Например, вы можете подписать только изображения myimage: stable и myimage: latest, но не myimage:dev.
Важным моментом является то, что только пользователь с AcrImageSigner роль может отправить подписанный образ в реестр.
Только пользователи или системы, которым вы предоставили разрешение, могут отправлять доверенные образы в ваш реестр. Чтобы предоставить пользователю (или системе, использующей субъект-службу) разрешение на передачу доверенных изображений, предоставьте их удостоверениям Azure Active Directory роль AcrImageSigner. Это в дополнение к роли AcrPush (или аналогичной), необходимой для отправки образов в реестр.
А для возможности извлекать ненадежный образ, если клиент активирует доверие к контенту в Docker, он может извлекать только доверенный образ. Но если ему все еще нужно ненадежное изображение, мы могли бы добавить--disable-content-trust к команде pull.