如何使用Docker Content Trust为容器确保安全？

​译者 | 布加迪

审校 | 孙淑娟

在跨联网系统交换数据时
，何使信任是容器一个关键问题
。在通过像互联网这样不可靠的确保媒介进行交互时
，为系统依赖的安全所有数据的发布者确保完整性尤为重要 。需要强大的何使加密保证来保护数据
，这时候Docker Content Trust（DCT）有了用武之地 。容器

Docker（DCT）就基础架构中使用的确保软件类型和版本提供了强大的加密保证 。亿华云Docker Content Trust随Docker版本1.8一同发布。安全

Docker Content Trust添加的何使安全措施可以检查容器镜像
、存放应用程序组件的容器容器文件以及保存在Docker Hub等注册中心的内容的一致性 。

借助注册中心，确保Docker Content Trust解决了两个问题 ：

从远程存储库下载容器镜像的安全用户可能会上传含有恶意软件的镜像，但无法验证其完整性 。何使其次，模板下载容器用户可能会将过期的确保容器上传到注册中心，这可能影响公司的互操作性、兼容性或性能。

DCT是如何运作的？

Docker Content Trust非常简单。Docker Content Trust基于Docker Notary工具来发布和管理可信任内容和更新框架（TUF），后者是一种确保软件更新系统安全的框架。Notary项目提供了客户机/服务器基础，源码下载用于建立信任，以验证和处理内容集合。

用户可以安全地获得发布者的公钥
，然后使用公钥来验证内容 。Notary依赖TUF进行安全的软件分发和更新操作。

Docker Content Trust密钥 ：

镜像标签的信任是通过使用签名密钥来管理的
。DCT与镜像的TAG（标记）部分相关联
。云计算当DCT操作初次使用时 ，会生成一个密钥集。

以下密钥类组成一个密钥集 ：

离线密钥 ，对镜像标记而言它是DCT的根。存储库或对标记签名的标签密钥服务器管理的密钥，比如时间戳密钥，用于确保存储库的新鲜度安全 。

镜像标记的建站模板信任是通过使用签名密钥来管理的 。DCT在Docker客户端中默认不启用。必须遵循以下步骤来设置DCT。

要想启用DCT，在您的Linux docker节点上发出以下命令 ：

复制$ export DOCKER_CONTENT_TRUST=1DOCKER_CONTENT_TRUST=0 for disabling DCT 。1.2. 启用Docker Content Trust的步骤：生成密钥将Signer添加到Docker存储库中对镜像签名

为了举例说明，我将使用Docker中心来执行启用Docker Content Trust的步骤。

第1步
 ：登录到Docker Hub
。免费模板 复制dev@srini:~$ docker loginUsername: srinukolaparthiPassword: