RedHat имеет свой собственный метод подписи и проверки изображений "Атомный" (Docker), описанный здесь. Использование атомарных подписей при подписании изображений и проверке целостности изображений в OpenShift хорошо документировано.
Docker имеет свой собственный подход к доверию контента и подписи изображений, нотариус.
Несмотря на то, что OpenShift используется для создания изображений, подпись изображений может быть выполнена любым способом: атомарным, с использованием Atomic CLI или docker, с помощью просто команд Docker CLI (push, pull, run и т.д.), Когда DOCKER_CONTENT_TRUST=1 или с нотариальным клиентом для более продвинутого использования.
Нотариальные / Атомные подписи (файлы блобов подписи) могут передаваться через Интернет, например, через веб-сервер, методы передачи файлов - вы называете это.
Вопросы):
Как настроить / выполнить проверку подписи Docker / нотариуса в OpenShift?
Кажется, команда проверки образа ОС использует GPG (открытый) ключ. Может ли ключ GPG быть извлечен из нотариуса?
Или, если команда не может быть использована, как иначе обеспечить доверие, так как транспорты подписи докера, кажется, поддерживаются? - решение не должно быть слишком "инвазивным", чтобы не влиять на уровень поддержки РЗ.