本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
轩辕镜像 - 国内开发者首选的专业 Docker 镜像下载加速服务平台 - 官方QQ群:13763429 👈点击免费获得技术支持。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站支持搜索的镜像仓库:Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com
signatures Docker 镜像下载 - 轩辕镜像
signatures 镜像详细信息和使用指南
signatures 镜像标签列表和版本信息
signatures 镜像拉取命令和加速下载
signatures 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
mongodb/signatures
signatures 镜像详细信息
signatures 镜像标签列表
signatures 镜像使用说明
signatures 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
为容器镜像提供签名功能,用于验证镜像的真实性与完整性,确保镜像来源可信。
1 收藏0 次下载activemongodb镜像
signatures 镜像详细说明
signatures 使用指南
signatures 配置说明
signatures 官方文档
容器镜像签名工具 (Signatures for container images) 镜像文档
1. 镜像概述
1.1 概述
本镜像是一款轻量级容器镜像签名与验证工具,基于OCI(开放容器倡议)标准构建,提供命令行界面用于对容器镜像进行数字签名、签名验证及密钥管理。通过加密算法确保镜像在分发和部署过程中的完整性、真实性和来源可信性,是容器供应链安全的核心保障工具。
1.2 主要用途
- 对容器镜像进行数字签名,生成不可篡改的签名元数据
- 验证容器镜像的签名信息,确认镜像未被篡改且来源可信
- 管理签名密钥(生成、导入、导出、轮换)
- 集成CI/CD流水线,实现自动化签名与验证流程
- 与主流容器 registry(如Docker Hub、Harbor、AWS ECR)无缝对接
2. 核心功能和特性
2.1 签名与验证
- 支持多种非对称加密算法:RSA(2048/4096位)、ECDSA(P-256/P-384)、ED25519
- 兼容OCIv1镜像规范,支持所有符合OCI标准的容器镜像(如Docker、containerd镜像)
- 签名元数据支持嵌入镜像manifest或独立文件存储
2.2 密钥管理
- 内置密钥生成工具,支持自动生成公私钥对
- 支持外部密钥导入/导出(PEM格式),兼容主流密钥管理系统(KMS)
- 私钥加密存储,支持密码保护
2.3 集成能力
- 原生支持Docker、containerd等容器运行时
- 适配CI/CD工具链(Jenkins、GitLab CI、GitHub Actions)
- 支持私有/公共容器registry认证(用户名密码、token、TLS)
2.4 安全性与合规
- 签名过程全程内存加密,避免密钥泄露
- 支持签名元数据审计日志输出(JSON格式)
- 符合NIST SP 800-177数字签名标准
3. 使用场景和适用范围
3.1 典型使用场景
- 企业内部镜像分发:确保内部团队共享的镜像未被篡改,仅可信镜像可部署至生产环境
- 开源项目镜像发布:向用户提供可验证的官方镜像,证明镜像来源为项目维护者
- CI/CD流水线集成:在镜像构建后自动签名,部署前强制验证签名,形成"构建-签名-验证-部署"闭环
- 多团队协作:通过统一签名策略管控跨团队镜像共享,确保镜像符合安全基线
- 合规审计:满足金融、医疗等行业对软件供应链可追溯性的合规要求
3.2 适用范围
- 容器平台:Docker、Kubernetes、containerd、CRI-O
- 镜像仓库:Docker Hub、Harbor、GitLab Container Registry、AWS ECR、Azure ACR
- 架构支持:linux/amd64、linux/arm64
4. 使用方法和配置说明
4.1 镜像拉取
# 拉取最新版 docker pull [镜像仓库地址]/signatures-for-container-images:latest # 拉取指定版本(如v1.2.0) docker pull [镜像仓库地址]/signatures-for-container-images:v1.2.0
4.2 基础命令格式
工具通过命令行参数执行操作,基本语法:
docker run --rm -v [本地目录]:/work [镜像名称] [命令] [参数]
--rm:容器退出后自动清理-v [本地目录]:/work:挂载本地目录用于密钥、签名文件的持久化存储
4.3 密钥管理
4.3.1 生成密钥对
生成RSA-4096密钥对(默认存储路径/work/keys):
docker run --rm -v $(pwd)/keys:/work/keys signatures-for-container-images \ key generate \ --algorithm rsa \ --bits 4096 \ --key-path /work/keys
生成后文件结构:
./keys/ ├── private.key # 私钥(PEM格式,需加密存储) └── public.key # 公钥(PEM格式,用于验证签名)
4.3.2 导入外部密钥
导入已有的PEM格式私钥:
docker run --rm -v $(pwd)/my-keys:/work/my-keys -v $(pwd)/keys:/work/keys \ signatures-for-container-images \ key import \ --type private \ --input /work/my-keys/existing-private.pem \ --output /work/keys/imported-private.key \ --password "密钥密码" # 若私钥加密
4.4 镜像签名
4.4.1 签名本地镜像
对本地myapp:v1.0镜像签名(需挂载Docker守护进程socket访问本地镜像):
docker run --rm \ -v $(pwd)/keys:/work/keys \ -v $(pwd)/signatures:/work/signatures \ -v /var/run/docker.sock:/var/run/docker.sock \ # 访问本地Docker signatures-for-container-images \ sign \ --image myapp:v1.0 \ --private-key /work/keys/private.key \ --output /work/signatures/myapp-v1.0.sig \ # 签名文件输出路径 --algorithm rsa # 可选,默认使用密钥对应算法
4.4.2 签名远程仓库镜像
对私有仓库harbor.example.com/library/myapp:v1.0签名:
docker run --rm \ -v $(pwd)/keys:/work/keys \ signatures-for-container-images \ sign \ --image harbor.example.com/library/myapp:v1.0 \ --private-key /work/keys/private.key \ --registry-url harbor.example.com \ --registry-username admin \ --registry-password Harbor12345 # 仓库认证信息
4.5 镜像签名验证
4.5.1 验证本地镜像
验证本地myapp:v1.0镜像的签名:
docker run --rm \ -v $(pwd)/keys:/work/keys \ -v $(pwd)/signatures:/work/signatures \ -v /var/run/docker.sock:/var/run/docker.sock \ signatures-for-container-images \ verify \ --image myapp:v1.0 \ --public-key /work/keys/public.key \ --signature /work/signatures/myapp-v1.0.sig
验证成功输出:
[INFO] Signature verification succeeded Image: myapp:v1.0 Signer: [公钥指纹] Signature time: 2024-05-20T10:30:00Z Integrity check: PASSED
4.5.2 验证远程镜像
验证远程仓库镜像签名:
docker run --rm \ -v $(pwd)/keys:/work/keys \ signatures-for-container-images \ verify \ --image harbor.example.com/library/myapp:v1.0 \ --public-key /work/keys/public.key \ --registry-url harbor.example.com
4.6 环境变量配置
通过环境变量简化命令参数,支持的变量如下:
| 环境变量名 | 描述 | 默认值 |
|---|---|---|
SIGN_KEY_PATH | 签名私钥默认路径 | /work/keys/private.key |
VERIFY_KEY_PATH | 验证公钥默认路径 | /work/keys/public.key |
SIGNATURE_DIR | 签名文件默认存储目录 | /work/signatures |
REGISTRY_URL | 默认容器registry地址 | docker.io |
SIGN_ALGORITHM | 默认签名算法(rsa/ecdsa/ed25519) | rsa |
REGISTRY_USERNAME | registry认证用户名 | 空 |
REGISTRY_PASSWORD | registry认证密码 | 空 |
示例:使用环境变量简化签名命令
docker run --rm -v $(pwd)/data:/work \ -e SIGN_KEY_PATH=/work/keys/prod-key.key \ -e REGISTRY_URL=harbor.example.com \ -e REGISTRY_USERNAME=admin \ -e REGISTRY_PASSWORD=Harbor12345 \ signatures-for-container-images \ sign --image myapp:v1.0
5. Docker部署示例
5.1 密钥生成与镜像签名完整流程
# 1. 创建工作目录 mkdir -p ./keys ./signatures # 2. 生成ECDSA密钥对 docker run --rm -v $(pwd)/keys:/work/keys \ signatures-for-container-images \ key generate --algorithm ecdsa --bits 384 --key-path /work/keys # 3. 对本地镜像签名(假设已构建myapp:v1.0) docker run --rm -v $(pwd)/keys:/work/keys -v $(pwd)/signatures:/work/signatures -v /var/run/docker.sock:/var/run/docker.sock \ signatures-for-container-images \ sign \ --image myapp:v1.0 \ --private-key /work/keys/private.key \ --output /work/signatures/myapp-v1.0.sig # 4. 验证签名 docker run --rm -v $(pwd)/keys:/work/keys -v $(pwd)/signatures:/work/signatures -v /var/run/docker.sock:/var/run/docker.sock \ signatures-for-container-images \ verify \ --image myapp:v1.0 \ --public-key /work/keys/public.key \ --signature /work/signatures/myapp-v1.0.sig
6. 注意事项
- 私钥安全:私钥是签名核心,需存储在加密介质(如Vault、KMS),禁止直接挂载到容器持久化存储
- Docker socket挂载风险:挂载
/var/run/docker.sock会授予容器对Docker守护进程的访问权限,生产环境建议使用远程镜像验证替代本地镜像操作 - 密钥轮换:建议每90天轮换一次签名密钥,旧密钥需保留用于验证历史镜像
- registry认证:访问私有仓库时,优先使用token认证(如 Harbor 的机器人账户token)而非明文密码
7. 命令参考
| 命令 | 子命令 | 功能描述 | 核心参数示例 |
|---|---|---|---|
key | generate | 生成密钥对 | --algorithm ecdsa --bits 384 |
key | import | 导入外部密钥 | --type private --input <路径> |
sign | - | 签名镜像 | --image <镜像名> --private-key <路径> |
verify | - | 验证镜像签名 | --image <镜像名> --public-key <路径> --signature <路径> |
常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录方式进行 Docker 镜像下载加速教程
通过 Docker 登录方式配置轩辕镜像加速服务,包含7个详细步骤
Linux Docker 镜像下载加速教程
在 Linux 系统上配置轩辕镜像源,支持主流发行版
Windows/Mac Docker 镜像下载加速教程
在 Docker Desktop 中配置轩辕镜像加速,适用于桌面系统
Docker Compose 镜像下载加速教程
在 Docker Compose 中使用轩辕镜像加速,支持容器编排
K8s containerd 镜像下载加速教程
在 k8s 中配置 containerd 使用轩辕镜像加速
宝塔面板 Docker 镜像下载加速教程
在宝塔面板中配置轩辕镜像加速,提升服务器管理效率
群晖 NAS Docker 镜像下载加速教程
在 Synology 群晖NAS系统中配置轩辕镜像加速
飞牛fnOS Docker 镜像下载加速教程
在飞牛fnOS系统中配置轩辕镜像加速
极空间 NAS Docker 镜像下载加速教程
在极空间NAS中配置轩辕镜像加速
爱快路由 ikuai Docker 镜像下载加速教程
在爱快ikuai系统中配置轩辕镜像加速
绿联 NAS Docker 镜像下载加速教程
在绿联NAS系统中配置轩辕镜像加速
威联通 NAS Docker 镜像下载加速教程
在威联通NAS系统中配置轩辕镜像加速
Podman Docker 镜像下载加速教程
在 Podman 中配置轩辕镜像加速,支持多系统
ghcr、Quay、nvcr、k8s、gcr 等仓库下载镜像加速教程
配置轩辕镜像加速9大主流镜像仓库,包含详细配置步骤
专属域名方式进行 Docker 镜像下载加速教程
无需登录即可使用轩辕镜像加速服务,更加便捷高效
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429