Notary Docker镜像文档

镜像概述和主要用途

弃用通知

上游Notary项目已于2025年7月30日归档。更多信息请参见notaryproject/.github#70。

主要用途

Notary镜像包含两个独立应用：Notary Server（服务器）和Notary Signer（签名器），二者协同处理JSON格式的TUF（The Update Framework）元数据签名与分发，支持Docker命令行工具的Docker Content Trust功能。

核心功能与特性

• 双组件架构：包含Server和Signer两个应用，分别负责元数据管理和签名操作
• TUF元数据管理：Server组件处理客户端（如Docker Content Trust）的TUF元数据请求
• 私钥管理与签名：Signer组件管理私钥并执行签名操作，通过GRPC接口与Server通信
• 数据持久化：依赖MySQL或MariaDB数据库存储元数据和密钥信息
• 安全通信：支持相互TLS（mTLS）加密，确保Server与Signer间通信安全
• 可配置性：通过JSON配置文件自定义网络地址、证书路径、存储后端等参数

使用场景与适用范围

• Docker镜像签名验证：原用于Docker Content Trust功能，确保镜像完整性和来源可信
• 生产环境部署：需同时运行Server和Signer，配合MySQL数据库实现持久化；不建议仅使用内存模式部署
• 版本兼容性：Server与Signer需使用相同版本标签（如server-0.2.0与signer-0.2.0），不同版本组合不受支持

支持的标签与架构

标签格式

• Server组件：server-*（如server-0.2.0）
• Signer组件：signer-*（如signer-0.2.0）

架构支持

警告：此镜像在arm64v8架构上不受支持。

使用方法与配置说明

前置要求

• 提供TLS证书和密钥（见下文配置说明）
• 部署MySQL或MariaDB数据库，为Server和Signer配置独立数据库用户（推荐）
• 确保容器间网络互通（通过Docker网络链接notarysigner和mysql主机名）

Notary Server配置

核心配置

Server默认配置示例（位于镜像内）：

json
{
    "server": {
        "http_addr": ":4443",          // 服务监听地址（HTTPS）
        "tls_key_file": "/certs/notary-server.key",  // 服务私钥路径
        "tls_cert_file": "/certs/notary-server.crt"  // 服务证书路径
    },
    "trust_service": {
        "type": "remote",              // 签名服务类型（远程Signer）
        "hostname": "notarysigner",    // Signer主机名（需通过Docker网络链接）
        "port": "7899",                // Signer GRPC端口
        "tls_ca_file": "/certs/root-ca.crt",  // CA根证书（验证Signer证书）
        "key_algorithm": "ecdsa",      // 密钥算法
        "tls_client_cert": "/certs/notary-server.crt",  // 客户端证书（mTLS认证）
        "tls_client_key": "/certs/notary-server.key"    // 客户端私钥（mTLS认证）
    },
    "logging": {
        "level": "info"                // 日志级别（info/warn/error/debug）
    },
    "storage": {
        "backend": "mysql",            // 存储后端（仅支持mysql）
        "db_url": "server@tcp(mysql:3306)/notaryserver?parseTime=True"  // MySQL连接串
    }
}

必需文件

需挂载证书目录至容器/certs，包含：

• root-ca.crt：CA根证书，用于验证Signer身份
• notary-server.crt：Server服务证书（客户端和Signer验证用）
• notary-server.key：Server服务私钥

部署示例（Docker Run）

bash
docker run -d \
  --name notaryserver \
  --link notarysigner:notarysigner \
  --link mysql:mysql \
  -v /path/to/certs:/certs \
  -v /path/to/custom-config.json:/etc/notary/server-config.json \  # 自定义配置（可选）
  notary:server-0.2.0 \
  /notary-server -config=/etc/notary/server-config.json

Notary Signer配置

核心配置

Signer默认配置示例（位于镜像内）：

json
{
    "server": {
        "http_addr": ":4444",          // HTTP管理接口地址
        "grpc_addr": ":7899",          // GRPC服务地址（与Server通信）
        "tls_cert_file": "/certs/notary-signer.crt",  // 服务证书路径
        "tls_key_file": "/certs/notary-signer.key",  // 服务私钥路径
        "client_ca_file": "/certs/notary-server.crt"  // 客户端CA证书（验证Server身份）
    },
    "logging": {
        "level": "info"                // 日志级别
    },
    "storage": {
        "backend": "mysql",            // 存储后端（仅支持mysql）
        "db_url": "signer@tcp(mysql:3306)/notarysigner?parseTime=True"  // MySQL连接串
    }
}

必需文件

需挂载证书目录至容器/certs，包含：

• notary-signer.crt：Signer服务证书
• notary-signer.key：Signer服务私钥
• notary-server.crt：Server证书（用于验证Server身份）

部署示例（Docker Run）

bash
docker run -d \
  --name notarysigner \
  --link mysql:mysql \
  -v /path/to/certs:/certs \
  -v /path/to/custom-config.json:/etc/notary/signer-config.json \  # 自定义配置（可选）
  notary:signer-0.2.0 \
  /notary-signer -config=/etc/notary/signer-config.json

数据库迁移

• 使用migrate工具管理数据库 schema，迁移文件见Notary源码
• 推荐为Server和Signer配置独立数据库用户，限制权限（如Server仅访问notaryserver库，Signer仅访问notarysigner库）

维护与支持

维护者

Docker, Inc.

支持渠道

• Docker社区Slack：[***]
• Stack Overflow、Server Fault、Unix & Linux等技术社区

问题反馈

提交issue至：[***]

许可证

• 镜像包含软件的许可证信息：Notary LICENSE
• 镜像可能包含其他软件（如基础系统组件、依赖库），其许可证需由用户自行确认合规性
• 更多许可证信息可参考repo-info仓库的notary目录

注意：使用前请确保遵守所有包含软件的许可证要求。