kong/notary Docker 镜像 - 轩辕镜像
kong/notary为所有Kong网关容器镜像及其构建资产提供Notary证明,确保软件供应链的安全性和完整性。
0 次下载activekong镜像
镜像概述和主要用途
该Docker镜像为所有Kong网关容器镜像及其构建资产提供Notary证明服务,通过数字签名与验证机制,确保Kong网关相关资产在分发和使用过程中的真实性与完整性,增强软件供应链安全。主要用途是为Kong网关的容器镜像及构建资产(如脚本、依赖文件等)提供可信证明,帮助用户验证资产未被篡改,适用于各类Kong网关部署场景的供应链安全保障。
核心功能和特性
核心功能
- Notary证明生成与验证:为Kong网关容器镜像及构建资产提供签名和验证能力,确保资产完整性
- 全面覆盖Kong资产:支持所有Kong网关官方容器镜像(含不同版本、架构)及相关构建资产
- 供应链安全增强:通过数字签名机制防止资产在分发、部署过程中被***篡改
特性
- 符合安全标准:遵循软件供应链安全最佳实践,支持SLSA等行业安全标准
- 密钥安全管理:支持安全的签名密钥存储与使用,防止密钥泄露风险
- 无缝集成能力:可与Docker/containerd等容器运行时及CI/CD流水线集成,实现自动化验证
使用场景和适用范围
使用场景
- 企业级Kong部署:生产环境中验证Kong镜像真实性,降低***软件注入风险
- CI/CD流程保障:在构建部署环节集成验证步骤,确保使用可信的Kong网关资产
- 多团队协作:为共享Kong网关镜像的团队提供统一的资产可信度验证机制
- 合规性需求:满足***、***等行业对供应链安全的严格合规要求
适用范围
- 用户群体:Kong网关的开发、运维及安全团队
- 环境类型:生产环境、预生产环境、开发测试环境
- 资产类型:Kong官方容器镜像(如
kong/kong)、构建脚本、配置文件、依赖包等
使用方法和配置说明
前提条件
- 安装Docker或兼容容器运行时
- 安装Notary客户端(v0.6.1+):Notary官方下载
- 网络可访问Kong Notary证明服务器(官方或自建)
验证Kong网关镜像的Notary证明
1. 配置Notary客户端
设置Notary服务器地址(以Kong官方服务器为例):
bashexport NOTARY_SERVER_URL=[***]
2. 手动验证镜像签名
使用Notary客户端验证指定Kong镜像(以kong/kong:3.5.0为例):
bashnotary verify kong/kong:3.5.0
验证成功输出:
Successfully verified signature for kong/kong:3.5.0
3. Docker运行时自动验证
通过Docker Content Trust启用自动验证:
bash# 启用Docker内容信任 export DOCKER_CONTENT_TRUST=1 # 配置Notary服务器地址 export DOCKER_CONTENT_TRUST_SERVER=[***] # 拉取镜像时自动验证 docker pull kong/kong:3.5.0
验证失败时,Docker将拒绝拉取镜像并提示错误信息
配置参数说明
| 参数名 | 描述 | 默认值 | 示例值 |
|---|---|---|---|
| NOTARY_SERVER_URL | Notary服务器地址 | [***] | [***] |
| DOCKER_CONTENT_TRUST | 启用Docker内容信任(0/1) | 0 | 1 |
| NOTARY_CA_FILE | Notary服务器TLS证书路径 | 系统默认CA证书 | /etc/notary/ca.crt |
CI/CD集成示例(GitLab CI)
在.gitlab-ci.yml中添加Notary验证步骤:
yamlstages: - verify verify-kong-image: stage: verify image: alpine:notary before_script: - export NOTARY_SERVER_URL=[***] script: - notary verify kong/kong:3.5.0 - echo "Kong gateway image verification passed" only: - main - production
注意事项
- 确保Notary客户端与服务器版本兼容,避免验证失败
- 签名密钥建议使用HSM或KMS服务存储,增强密钥安全性
- 定期更新Notary客户端及CA证书,应对潜在安全漏洞
notary
by library
官方
已弃用;Notary服务器和签名者协同处理签名与分发
725M+ pulls
上次更新:1 年前
kumahq/notary
by Kuma
认证
这是一个用于所有已生成的kuma Docker镜像的中央镜像签名仓库
10K+ pulls
上次更新:23 天前
arm64v8/notary
by arm64v8
已弃用的Notary服务器与签名器协同处理签名和分发的镜像
10K+ pulls
上次更新:1 年前
docker/dtr-notary-server
by Docker, Inc.
认证
暂无描述
10M+ pulls
上次更新:5 年前
docker/dtr-notary-signer
by Docker, Inc.
认证
暂无描述
10M+ pulls
上次更新:5 年前
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像服务
Windows/Mac
在 Docker Desktop 配置镜像
Docker Compose
Docker Compose 项目配置
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
宝塔面板
在宝塔面板一键配置镜像
群晖
Synology 群晖 NAS 配置
飞牛
飞牛 fnOS 系统配置镜像
极空间
极空间 NAS 系统配置服务
爱快路由
爱快 iKuai 路由系统配置
绿联
绿联 NAS 系统配置镜像
威联通
QNAP 威联通 NAS 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 访问,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像支持哪些镜像仓库?
专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等;免费版仅支持 docker.io。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"