Option de sécurité : Vérifier les signatures des artefacts du Dynamic Engine
À partir de la version v0.22 (R2025-06), vous pouvez valider l'authenticité des artefacts du Dynamic Engine (images et charts Helm) en vérifiant leurs signatures numériques avant déploiement.
Avant de commencer
- Utilisez Dynamic Engine v0.22 (R2025-06) et versions supérieures.
- Consultez la liste des artefacts et détails requis pour votre version du Dynamic Engine dans le journal de modifications :
- Nom : nom fonctionnel du chart ou service
- Version : version x.y.z d'un artefact
- Chemin : une chaîne de caractères avec les coordonnées des artefacts, par exemple, ghcr.io/talend/job-controller
- Clé publique officielle de Dynamic Engine, valide à partir de juin 2025 :
-----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEk6LwoCuQitMxk4RCWfCAN1lpJk5p+ 91oaQHTYrZnvSLqEP59vw/dz2F/7xaoHkFqEG+9Yv6DwG01Apty1A9KMw== -----END PUBLIC KEY-----
Pourquoi et quand exécuter cette tâche
Qlik fournit des signatures numériques pour toutes les images officielles et charts Helm à partir de la version v0.22 de Dynamic Engine. Tous les artefacts sont signés lors du build, avec une paire de clés asymétriques : la clé privée est utilisée pour la signature et la clé publique est rendue disponible pour vérification de la signature.
La validation de la signature peut être automatisée à l'aide des contrôleurs d'admission de la communauté Kubernetes, comme PolicyController, Kyverno, connaisseur ou Gatekeeper. Dans cet exemple, l'outil Cosign est utilisé pour effectuer une vérification manuelle.
Procédure
Résultats
Une fois l'authenticité de votre artefact de Dynamic Engine confirmée, vous vous assurez que seuls les artefacts validés sont déployés.