Portieris Docker镜像文档

镜像概述

Portieris是由IBM开发的Kubernetes准入控制器，旨在通过准入控制机制在容器镜像部署到Kubernetes集群前强制执行预定义的镜像安全策略。该镜像提供了核心控制逻辑，帮助管理员确保只有符合安全标准的镜像才能在集群中运行，从而增强容器环境的安全性与合规性。

核心功能与特性

• 准入控制机制：作为Kubernetes准入控制器，在Pod创建请求被API Server处理前拦截并验证镜像合规性
• 镜像策略执行：支持基于命名空间或集群级别的镜像策略定义，强制执行镜像来源、签名验证、标签规则等安全要求
• 多源镜像支持：兼容Docker Hub、私有镜像仓库、IBM Cloud Container Registry等多种镜像仓库
• 灵活策略配置：通过Kubernetes自定义资源（CRD）定义镜像策略，支持细粒度的规则设置

使用场景与适用范围

• 企业级Kubernetes集群：需要严格控制容器镜像来源和安全性的生产环境
• 多租户集群环境：确保不同租户部署的镜像符合统一安全标准
• 合规性要求高的场景：满足***、***等行业对容器镜像的合规性审计需求
• DevSecOps流程集成：在CI/CD流水线末端添加镜像部署前的安全校验环节

使用方法与配置说明

前提条件

• Kubernetes集群（版本通常需1.16+，具体请参考GitHub文档）
• 集群管理员权限
• 如需使用镜像签名验证，需配置密钥管理服务（如Docker Content Trust、Notary等）

安装与部署

详细的安装和配置说明请参考***GitHub仓库：
IBM Portieris GitHub仓库

通常推荐通过Helm chart进行部署，基本步骤如下（具体版本和参数请以GitHub最新文档为准）：

bash
# 添加Helm仓库
helm repo add portieris [***]
helm repo update

# 安装Portieris
helm install portieris portieris/portieris --namespace portieris --create-namespace

策略配置示例

通过创建ImagePolicy自定义资源定义镜像策略，例如拒绝未签名的镜像：

yaml
apiVersion: portieris.cloud.ibm.com/v1
kind: ImagePolicy
metadata:
  name: default
  namespace: default
spec:
  repositories:
  - name: "*"
    policy:
      trust:
        enabled: true
        trustServer: [***]
        required: true

验证与管理

部署后，可通过检查Portieris控制器日志验证运行状态：

bash
kubectl logs -n portieris deployment/portieris -f

策略执行情况可通过Kubernetes事件或API Server审计日志查看。

注意事项

• 策略配置变更后需等待控制器重新加载，通常无需重启
• 集群升级时需确保Portieris版本与Kubernetes版本兼容
• 复杂策略场景建议先在测试集群验证后再应用到生产环境

完整的配置参数、高级用法及故障排除指南，请查阅***GitHub仓库文档。