メイン コンテンツをスキップする 補完的コンテンツへスキップ

セキュリティオプション:Dynamic Engineアーティファクト署名を確認

v0.22 (R2025-06)より、デプロイメントの前にデジタル署名を検証することで、Dynamic Engineのアーティファクト(画像とHelmチャート)の信頼性を検証できるようになりました。

情報メモ注: Dynamic Engine v0.22では、パブリックレジストリー(reloaderdocker-registryなどの)からプルされたリソースに対するアーティファクト署名はまだ利用できません。

始める前に

  • Dynamic Engine v0.22 (R2025-06)以降を使用してください。
  • Dynamic Engineのバージョンに必要なアーティファクトのリストと詳細については、changelogにアクセスしてください:
    • 名前: チャートまたはサービスの機能名
    • バージョン: アーティファクトのx.y.zバージョン
    • パス: アーティファクトの座標を示す文字列(ghcr.io/talend/job-controllerなど)
  • 2025年6月から有効である、Dynamic Engineの公式パブリックキー:
    -----BEGIN PUBLIC KEY-----
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEk6LwoCuQitMxk4RCWfCAN1lpJk5p+
    91oaQHTYrZnvSLqEP59vw/dz2F/7xaoHkFqEG+9Yv6DwG01Apty1A9KMw==
    -----END PUBLIC KEY-----

このタスクについて

Dynamic Engine v0.22以降、Qlikではすべての公式画像とHelmチャートにデジタル署名を提供しています。アーティファクトはすべて、ビルド時に非対称キーペアで署名されます: シークレットキーは署名に使用され、パブリックキーは署名の検証に使用されます。

署名の検証は、Kubernetesコミュニティのアドミッションコントローラー(PolicyControllerKyvernoconnaisseurGatekeeperなど)を使用して自動化できます。この例では、Cosignツールを使って検証が手動で行われます。

手順

  1. インストールされていない場合は、Cosignツールをインストールします。
  2. 公式のパブリックキーをローカルファイルに保存します。
    cat <<EOF > dynamic-engine.pub
    -----BEGIN PUBLIC KEY-----
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEk6LwoCuQitMxk4RCWfCAN1lpJk5p+
    91oaQHTYrZnvSLqEP59vw/dz2F/7xaoHkFqEG+9Yv6DwG01Apty1A9KMw==
    -----END PUBLIC KEY-----
    EOF
  3. Cosignを使って、アーティファクトの署名を検証します。
    cosign verify --key dynamic-engine.pub <artifact-path>:<version>    

    <artifact-path><version>を、changelogの値に置換します。例:

    cosign verify --key dynamic-engine.pub ghcr.io/talend/job-controller:2.14.1      

タスクの結果

Dynamic Engineアーティファクトの真正性を確認した後は、検証されたアーティファクトのみがデプロイされます。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。