kong/notary Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

镜像概述和主要用途

该Docker镜像为所有Kong网关容器镜像及其构建资产提供Notary证明服务，通过数字签名与验证机制，确保Kong网关相关资产在分发和使用过程中的真实性与完整性，增强软件供应链安全。主要用途是为Kong网关的容器镜像及构建资产（如脚本、依赖文件等）提供可信证明，帮助用户验证资产未被篡改，适用于各类Kong网关部署场景的供应链安全保障。

核心功能和特性

核心功能

• Notary证明生成与验证：为Kong网关容器镜像及构建资产提供签名和验证能力，确保资产完整性
• 全面覆盖Kong资产：支持所有Kong网关官方容器镜像（含不同版本、架构）及相关构建资产
• 供应链安全增强：通过数字签名机制防止资产在分发、部署过程中被***篡改

特性

• 符合安全标准：遵循软件供应链安全最佳实践，支持SLSA等行业安全标准
• 密钥安全管理：支持安全的签名密钥存储与使用，防止密钥泄露风险
• 无缝集成能力：可与Docker/containerd等容器运行时及CI/CD流水线集成，实现自动化验证

使用场景和适用范围

使用场景

• 企业级Kong部署：生产环境中验证Kong镜像真实性，降低***软件注入风险
• CI/CD流程保障：在构建部署环节集成验证步骤，确保使用可信的Kong网关资产
• 多团队协作：为共享Kong网关镜像的团队提供统一的资产可信度验证机制
• 合规性需求：满足***、***等行业对供应链安全的严格合规要求

适用范围

• 用户群体：Kong网关的开发、运维及安全团队
• 环境类型：生产环境、预生产环境、开发测试环境
• 资产类型：Kong官方容器镜像（如kong/kong）、构建脚本、配置文件、依赖包等

使用方法和配置说明

前提条件

• 安装Docker或兼容容器运行时
• 安装Notary客户端（v0.6.1+）：Notary官方下载
• 网络可访问Kong Notary证明服务器（官方或自建）

验证Kong网关镜像的Notary证明

1. 配置Notary客户端

设置Notary服务器地址（以Kong官方服务器为例）：

bash
export NOTARY_SERVER_URL=[***]

2. 手动验证镜像签名

使用Notary客户端验证指定Kong镜像（以kong/kong:3.5.0为例）：

bash
notary verify kong/kong:3.5.0

验证成功输出：

Successfully verified signature for kong/kong:3.5.0

3. Docker运行时自动验证

通过Docker Content Trust启用自动验证：

bash
# 启用Docker内容信任
export DOCKER_CONTENT_TRUST=1
# 配置Notary服务器地址
export DOCKER_CONTENT_TRUST_SERVER=[***]

# 拉取镜像时自动验证
docker pull kong/kong:3.5.0

验证失败时，Docker将拒绝拉取镜像并提示错误信息

配置参数说明

CI/CD集成示例（GitLab CI）

在.gitlab-ci.yml中添加Notary验证步骤：

yaml
stages:
  - verify

verify-kong-image:
  stage: verify
  image: alpine:notary
  before_script:
    - export NOTARY_SERVER_URL=[***]
  script:
    - notary verify kong/kong:3.5.0
    - echo "Kong gateway image verification passed"
  only:
    - main
    - production

注意事项

• 确保Notary客户端与服务器版本兼容，避免验证失败
• 签名密钥建议使用HSM或KMS服务存储，增强密钥安全性
• 定期更新Notary客户端及CA证书，应对潜在安全漏洞