kumahq/notary Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
kumahq/notarykumahq
这是一个用于所有已生成的kuma Docker镜像的中央镜像签名仓库
下载次数: 0状态:社区镜像维护者:kumahq仓库类型:镜像最近更新:19 天前
kuma中央镜像签名仓库
镜像概述和主要用途
该镜像作为中央化的镜像签名仓库,专门用于集中管理和存储所有已生成的kuma Docker镜像的签名信息。其核心价值在于确保kuma系列镜像的完整性与真实性,提供统一的签名存储与验证机制,是kuma镜像安全分发和部署的关键组件。
核心功能和特性
- 集中化签名管理:统一存储所有kuma Docker镜像的数字签名,避免分散存储导致的管理混乱
- 完整性验证支持:提供签名验证接口,确保部署的kuma镜像与原始构建版本一致,未被篡改
- 原生kuma兼容性:专为kuma系列镜像设计,完美适配kuma镜像的构建和分发流程
- 持久化存储:支持签名数据的持久化保存,确保服务重启或迁移后签名信息不丢失
使用场景和适用范围
- 企业级kuma部署:在多环境、多版本kuma部署场景中,提供统一的签名追溯能力
- 安全合规需求:满足***、政务等对镜像来源和完整性有严格合规要求的场景
- CI/CD流水线集成:作为kuma镜像构建流水线的末端环节,自动存储构建完成的镜像签名
- 多团队协作:在多个团队共同维护kuma镜像时,提供一致的签名管理规范和访问入口
使用方法和配置说明
基础部署命令
bashdocker run -d \ --name kuma-signature-repo \ -p 8080:8080 \ -v /host/path/to/signatures:/var/lib/kuma-signatures \ --restart unless-stopped \ kuma/signature-repo:latest
核心配置参数
| 参数名 | 描述 | 默认值 | 必须 |
|---|---|---|---|
-v /host/path/to/signatures:/var/lib/kuma-signatures | 本地目录挂载,用于持久化存储签名数据 | 无 | 是 |
-p 8080:8080 | 端口映射,暴露签名服务API端口 | 8080 | 否 |
--name kuma-signature-repo | 容器名称,便于管理和识别 | 随机生成 | 否 |
环境变量配置
| 环境变量 | 描述 | 默认值 |
|---|---|---|
SIGNATURE_STORAGE_PATH | 容器内签名文件存储路径 | /var/lib/kuma-signatures |
API_PORT | 服务监听端口 | 8080 |
LOG_LEVEL | 日志输出级别(debug/info/warn/error) | info |
MAX_SIGNATURE_RETENTION_DAYS | 签名文件最大保留天数 | 90 |
签名管理操作示例
1. 存储kuma镜像签名
bash# 假设已生成kuma镜像签名文件signature.json curl -X POST http://localhost:8080/api/v1/signatures \ -H "Content-Type: application/json" \ -d @signature.json
2. 查询指定镜像签名
bashcurl http://localhost:8080/api/v1/signatures?image=kuma/control-plane:1.8.0
3. 验证镜像签名
bashcurl -X POST http://localhost:8080/api/v1/verify \ -H "Content-Type: application/json" \ -d '{"image": "kuma/control-plane:1.8.0", "signature": "<signature-content>"}'
数据持久化说明
为确保签名数据不丢失,必须通过-v参数挂载本地目录到容器内/var/lib/kuma-signatures路径。建议使用分布式存储(如NFS、Ceph)挂载该目录,以支持多实例部署和高可用性。
notary
Docker 官方镜像
已弃用;Notary服务器和签名者协同处理签名与分发
72 次收藏500万+ 次下载
1 年前更新
kong/notary
kong
为所有Kong网关容器镜像及其构建资产提供Notary证明,确保软件供应链的安全性和完整性。
1万+ 次下载
19 天前更新
arm32v6/notary
arm32v6
已弃用;Notary服务器和签名者协同处理签名与分发的Docker镜像。
1万+ 次下载
1 年前更新
s390x/notary
s390x
已弃用;Notary服务器和签名器协同处理签名与分发功能,是Docker Content Trust特性的组件,需配合MySQL数据库使用。
1万+ 次下载
1 年前更新
ppc64le/notary
ppc64le
已弃用;Notary服务器和签名器协同处理签名与分发
1万+ 次下载
1 年前更新
amd64/notary
amd64
已弃用;Notary服务器和签名器协同处理签名和分发
1 次收藏5万+ 次下载
1 年前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"