Azure 启用内容信任会影响注册表中的现有图像吗?
Azure enabling content trust will impact exisitng images in registry?
我们计划在 Azure 内容注册表中启用内容信任,以便我们可以将已签名的图像推送到 repo 以供消费者使用。但我几乎没有怀疑?
- 启用内容信任后,用户还能拉取现有图像吗?
- 启用内容信任后,是否可以将已签名和未签名的图像推送到注册表?
任何人都可以对此提出建议吗?
谢谢
如果您在 Azure 容器注册表中启用内容信任,则存储库可能同时包含已签名和未签名的图像。
来自docs:
Content trust works with the tags in a repository. Image repositories can contain images with both signed and unsigned tags. For example, you might sign only the myimage:stable and myimage:latest images, but not myimage:dev.
重要的一点是,只有具有 AcrImageSigner
角色的用户才能将签名映像推送到注册表。
Only the users or systems you've granted permission can push trusted images to your registry. To grant trusted image push permission to a user (or a system using a service principal), grant their Azure Active Directory identities the AcrImageSigner role. This is in addition to the AcrPush (or equivalent) role required for pushing images to the registry.
并且为了能够拉取不受信任的图像,如果客户端在Docker上激活了内容信任,他只能拉取受信任的图像。但是,如果他仍然想要不受信任的图像,我们可以将 --disable-content-trust
添加到 pull 命令。
我们计划在 Azure 内容注册表中启用内容信任,以便我们可以将已签名的图像推送到 repo 以供消费者使用。但我几乎没有怀疑?
- 启用内容信任后,用户还能拉取现有图像吗?
- 启用内容信任后,是否可以将已签名和未签名的图像推送到注册表?
任何人都可以对此提出建议吗?
谢谢
如果您在 Azure 容器注册表中启用内容信任,则存储库可能同时包含已签名和未签名的图像。
来自docs:
Content trust works with the tags in a repository. Image repositories can contain images with both signed and unsigned tags. For example, you might sign only the myimage:stable and myimage:latest images, but not myimage:dev.
重要的一点是,只有具有 AcrImageSigner
角色的用户才能将签名映像推送到注册表。
Only the users or systems you've granted permission can push trusted images to your registry. To grant trusted image push permission to a user (or a system using a service principal), grant their Azure Active Directory identities the AcrImageSigner role. This is in addition to the AcrPush (or equivalent) role required for pushing images to the registry.
并且为了能够拉取不受信任的图像,如果客户端在Docker上激活了内容信任,他只能拉取受信任的图像。但是,如果他仍然想要不受信任的图像,我们可以将 --disable-content-trust
添加到 pull 命令。