Zu Hauptinhalt springen Zu ergänzendem Inhalt springen
Qlik Ressourcen
SearchUnify-Suche wird geladen Wenn Sie Unterstützung für Ihr Produkt benötigen, wenden Sie sich an den Qlik-Support.
Qlik Kundenportal

Sicherheitsoption: Prüfen von Dynamic Engine-Artefaktsignaturen

Ab v0.22 (R2025-06) können Sie die Authentizität von Dynamic Engine-Artefakten (Abbilder und Helm-Diagramme) durch Verifizierung ihrer digitalen Signaturen vor der Bereitstellung validieren.

InformationshinweisAnmerkung: Seit Dynamic Engine v0.22 sind Artefaktsignaturen noch nicht für Ressourcen verfügbar, die aus öffentlichen Registrierungen abgerufen wurden, wie beispielsweise reloader und docker-registry.

Vorbereitungen

  • Verwenden Sie Dynamic Engine v0.22 (R2025-06) und höher.
  • Greifen Sie auf die Liste der erforderlichen Artefakte und Details für Ihre Dynamic Engine-Version im Änderungsprotokoll zu:
    • Name: Funktionsname des Diagramms oder Diensts
    • Version: x.y.z-Version eines Artefakts
    • Pfad: Zeichenfolge mit den Koordinaten der Artefakte, zum Beispiel ghcr.io/talend/job-controller
  • Offizieller öffentlicher Dynamic Engine-Schlüssel, gültig ab Juni 2025:
    -----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEk6LwoCuQitMxk4RCWfCAN1lpJk5p+
91oaQHTYrZnvSLqEP59vw/dz2F/7xaoHkFqEG+9Yv6DwG01Apty1A9KMw==
-----END PUBLIC KEY-----

Warum und wann dieser Vorgang ausgeführt wird

Qlik stellt digitale Signaturen für alle offizellen Abbilder und Helm-Diagramme ab Dynamic Engine v0.22 bereit. Alle Artefakte werden zur Erstellungszeit mit einem asymmetrischen Schlüsselpaar signiert: Der private Schlüssel wird für die Signierung verwendet. Außerdem wird der öffentliche Schlüssel für die Signaturverifizierung verfügbar gemacht.

Die Signaturvalidierung kann mithilfe von Zugangs-Controllern von der Kubernetes-Community wie beispielsweise PolicyController, Kyverno, connaisseur oder Gatekeeper automatisiert werden. In diesem Beispiel wird das Cosign-Tool verwendet, um eine manuelle Verifizierung durchzuführen.

Prozedur

  1. Installieren Sie das Cosign-Tool, falls Sie es nicht haben.
  2. Speichern Sie den offiziellen öffentlichen Schlüssel in einer lokalen Datei. 
    cat <<EOF > dynamic-engine.pub
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEk6LwoCuQitMxk4RCWfCAN1lpJk5p+
91oaQHTYrZnvSLqEP59vw/dz2F/7xaoHkFqEG+9Yv6DwG01Apty1A9KMw==
-----END PUBLIC KEY-----
EOF
  3. Verifizieren Sie die Artefaktsignatur mithilfe von Cosign. 
    cosign verify --key dynamic-engine.pub <artifact-path>:<version>

    Ersetzen Sie <artifact-path> und <version> durch ihre Wert aus dem Änderungsprotokoll. Beispiel: 

    cosign verify --key dynamic-engine.pub ghcr.io/talend/job-controller:2.14.1

Ergebnisse

Stellen Sie nach der Bestätigung der Authentizität Ihres Dynamic Engine-Artefakts sicher, dass nur validierte Artefakte bereitgestellt werden.

Hat diese Seite Ihnen geholfen?

Wenn Sie ein Problem mit dieser Seite oder ihrem Inhalt feststellen, sei es ein Tippfehler, ein ausgelassener Schritt oder ein technischer Fehler, informieren Sie uns bitte!

Geben Sie hier Ihr Feedback ab