セキュリティオプション:Dynamic Engineアーティファクト署名を確認
v0.22 (R2025-06)より、デプロイメントの前にデジタル署名を検証することで、Dynamic Engineのアーティファクト(画像とHelmチャート)の信頼性を検証できるようになりました。
情報メモ注: Dynamic Engine v0.22では、パブリックレジストリー(reloaderやdocker-registryなどの)からプルされたリソースに対するアーティファクト署名はまだ利用できません。
始める前に
- Dynamic Engine v0.22 (R2025-06)以降を使用してください。
- Dynamic Engineのバージョンに必要なアーティファクトのリストと詳細については、changelogにアクセスしてください:
- 名前: チャートまたはサービスの機能名
- バージョン: アーティファクトのx.y.zバージョン
- パス: アーティファクトの座標を示す文字列(ghcr.io/talend/job-controllerなど)
- 2025年6月から有効である、Dynamic Engineの公式パブリックキー:
-----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEk6LwoCuQitMxk4RCWfCAN1lpJk5p+ 91oaQHTYrZnvSLqEP59vw/dz2F/7xaoHkFqEG+9Yv6DwG01Apty1A9KMw== -----END PUBLIC KEY-----
このタスクについて
Dynamic Engine v0.22以降、Qlikではすべての公式画像とHelmチャートにデジタル署名を提供しています。アーティファクトはすべて、ビルド時に非対称キーペアで署名されます: シークレットキーは署名に使用され、パブリックキーは署名の検証に使用されます。
署名の検証は、Kubernetesコミュニティのアドミッションコントローラー(PolicyController、Kyverno、connaisseur、Gatekeeperなど)を使用して自動化できます。この例では、Cosignツールを使って検証が手動で行われます。
手順
タスクの結果
Dynamic Engineアーティファクトの真正性を確認した後は、検証されたアーティファクトのみがデプロイされます。