Accéder au contenu principal Passer au contenu complémentaire

Option de sécurité : Vérifier les signatures des artefacts du Dynamic Engine

À partir de la version v0.22 (R2025-06), vous pouvez valider l'authenticité des artefacts du Dynamic Engine (images et charts Helm) en vérifiant leurs signatures numériques avant déploiement.

Note InformationsRemarque : Dans la version 0.22 de Dynamic Engine, les signatures d'artefacts ne sont pas disponibles pour les ressources récupérées des registres publics, comme reloader et docker-registry.

Avant de commencer

  • Utilisez Dynamic Engine v0.22 (R2025-06) et versions supérieures.
  • Consultez la liste des artefacts et détails requis pour votre version du Dynamic Engine dans le journal de modifications :
    • Nom : nom fonctionnel du chart ou service
    • Version : version x.y.z d'un artefact
    • Chemin : une chaîne de caractères avec les coordonnées des artefacts, par exemple, ghcr.io/talend/job-controller
  • Clé publique officielle de Dynamic Engine, valide à partir de juin 2025 :
    -----BEGIN PUBLIC KEY-----
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEk6LwoCuQitMxk4RCWfCAN1lpJk5p+
    91oaQHTYrZnvSLqEP59vw/dz2F/7xaoHkFqEG+9Yv6DwG01Apty1A9KMw==
    -----END PUBLIC KEY-----

Pourquoi et quand exécuter cette tâche

Qlik fournit des signatures numériques pour toutes les images officielles et charts Helm à partir de la version v0.22 de Dynamic Engine. Tous les artefacts sont signés lors du build, avec une paire de clés asymétriques : la clé privée est utilisée pour la signature et la clé publique est rendue disponible pour vérification de la signature.

La validation de la signature peut être automatisée à l'aide des contrôleurs d'admission de la communauté Kubernetes, comme PolicyController, Kyverno, connaisseur ou Gatekeeper. Dans cet exemple, l'outil Cosign est utilisé pour effectuer une vérification manuelle.

Procédure

  1. Installez l'outil Cosign si ce n'est pas encore fait.
  2. Enregistrez la clé publique officielle dans un fichier local.
    cat <<EOF > dynamic-engine.pub
    -----BEGIN PUBLIC KEY-----
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEk6LwoCuQitMxk4RCWfCAN1lpJk5p+
    91oaQHTYrZnvSLqEP59vw/dz2F/7xaoHkFqEG+9Yv6DwG01Apty1A9KMw==
    -----END PUBLIC KEY-----
    EOF
  3. Vérifiez la signature de l'artefact à l'aide de Cosign.
    cosign verify --key dynamic-engine.pub <artifact-path>:<version>    

    Remplacez <artifact-path> et <version> par leur valeur du journal de modifications. Par exemple :

    cosign verify --key dynamic-engine.pub ghcr.io/talend/job-controller:2.14.1      

Résultats

Une fois l'authenticité de votre artefact de Dynamic Engine confirmée, vous vous assurez que seuls les artefacts validés sont déployés.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.