本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
signatures Docker 镜像下载 - 轩辕镜像
signatures 镜像详细信息和使用指南
signatures 镜像标签列表和版本信息
signatures 镜像拉取命令和加速下载
signatures 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
mongodb/signatures
signatures 镜像详细信息
signatures 镜像标签列表
signatures 镜像使用说明
signatures 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
为容器镜像提供签名功能,用于验证镜像的真实性与完整性,确保镜像来源可信。
1 收藏0 次下载activemongodb镜像
signatures 镜像详细说明
signatures 使用指南
signatures 配置说明
signatures 官方文档
容器镜像签名工具 (Signatures for container images) 镜像文档
1. 镜像概述
1.1 概述
本镜像是一款轻量级容器镜像签名与验证工具,基于OCI(开放容器倡议)标准构建,提供命令行界面用于对容器镜像进行数字签名、签名验证及密钥管理。通过加密算法确保镜像在分发和部署过程中的完整性、真实性和来源可信性,是容器供应链安全的核心保障工具。
1.2 主要用途
- 对容器镜像进行数字签名,生成不可篡改的签名元数据
- 验证容器镜像的签名信息,确认镜像未被篡改且来源可信
- 管理签名密钥(生成、导入、导出、轮换)
- 集成CI/CD流水线,实现自动化签名与验证流程
- 与主流容器 registry(如Docker Hub、Harbor、AWS ECR)无缝对接
2. 核心功能和特性
2.1 签名与验证
- 支持多种非对称加密算法:RSA(2048/4096位)、ECDSA(P-256/P-384)、ED25519
- 兼容OCIv1镜像规范,支持所有符合OCI标准的容器镜像(如Docker、containerd镜像)
- 签名元数据支持嵌入镜像manifest或独立文件存储
2.2 密钥管理
- 内置密钥生成工具,支持自动生成公私钥对
- 支持外部密钥导入/导出(PEM格式),兼容主流密钥管理系统(KMS)
- 私钥加密存储,支持密码保护
2.3 集成能力
- 原生支持Docker、containerd等容器运行时
- 适配CI/CD工具链(Jenkins、GitLab CI、GitHub Actions)
- 支持私有/公共容器registry认证(用户名密码、token、TLS)
2.4 安全性与合规
- 签名过程全程内存加密,避免密钥泄露
- 支持签名元数据审计日志输出(JSON格式)
- 符合NIST SP 800-177数字签名标准
3. 使用场景和适用范围
3.1 典型使用场景
- 企业内部镜像分发:确保内部团队共享的镜像未被篡改,仅可信镜像可部署至生产环境
- 开源项目镜像发布:向用户提供可验证的***镜像,证明镜像来源为项目维护者
- CI/CD流水线集成:在镜像构建后自动签名,部署前强制验证签名,形成"构建-签名-验证-部署"闭环
- 多团队协作:通过统一签名策略管控跨团队镜像共享,确保镜像符合安全基线
- 合规审计:满足***、***等行业对软件供应链可追溯性的合规要求
3.2 适用范围
- 容器平台:Docker、Kubernetes、containerd、CRI-O
- 镜像仓库:Docker Hub、Harbor、GitLab Container Registry、AWS ECR、Azure ACR
- 架构支持:linux/amd64、linux/arm64
4. 使用方法和配置说明
4.1 镜像拉取
bash# 拉取最新版 docker pull [镜像仓库地址]/signatures-for-container-images:latest # 拉取指定版本(如v1.2.0) docker pull [镜像仓库地址]/signatures-for-container-images:v1.2.0
4.2 基础命令格式
工具通过命令行参数执行操作,基本语法:
bashdocker run --rm -v [本地目录]:/work [镜像名称] [命令] [参数]
--rm:容器退出后自动清理-v [本地目录]:/work:挂载本地目录用于密钥、签名文件的持久化存储
4.3 密钥管理
4.3.1 生成密钥对
生成RSA-4096密钥对(默认存储路径/work/keys):
bashdocker run --rm -v $(pwd)/keys:/work/keys signatures-for-container-images \ key generate \ --algorithm rsa \ --bits 4096 \ --key-path /work/keys
生成后文件结构:
./keys/ ├── private.key # 私钥(PEM格式,需加密存储) └── public.key # 公钥(PEM格式,用于验证签名)
4.3.2 导入外部密钥
导入已有的PEM格式私钥:
bashdocker run --rm -v $(pwd)/my-keys:/work/my-keys -v $(pwd)/keys:/work/keys \ signatures-for-container-images \ key import \ --type private \ --input /work/my-keys/existing-private.pem \ --output /work/keys/imported-private.key \ --password "密钥密码" # 若私钥加密
4.4 镜像签名
4.4.1 签名本地镜像
对本地myapp:v1.0镜像签名(需挂载Docker守护进程socket访问本地镜像):
bashdocker run --rm \ -v $(pwd)/keys:/work/keys \ -v $(pwd)/signatures:/work/signatures \ -v /var/run/docker.sock:/var/run/docker.sock \ # 访问本地Docker signatures-for-container-images \ sign \ --image myapp:v1.0 \ --private-key /work/keys/private.key \ --output /work/signatures/myapp-v1.0.sig \ # 签名文件输出路径 --algorithm rsa # 可选,默认使用密钥对应算法
4.4.2 签名远程仓库镜像
对私有仓库harbor.example.com/library/myapp:v1.0签名:
bashdocker run --rm \ -v $(pwd)/keys:/work/keys \ signatures-for-container-images \ sign \ --image harbor.example.com/library/myapp:v1.0 \ --private-key /work/keys/private.key \ --registry-url harbor.example.com \ --registry-username admin \ --registry-password Harbor*** # 仓库认证信息
4.5 镜像签名验证
4.5.1 验证本地镜像
验证本地myapp:v1.0镜像的签名:
bashdocker run --rm \ -v $(pwd)/keys:/work/keys \ -v $(pwd)/signatures:/work/signatures \ -v /var/run/docker.sock:/var/run/docker.sock \ signatures-for-container-images \ verify \ --image myapp:v1.0 \ --public-key /work/keys/public.key \ --signature /work/signatures/myapp-v1.0.sig
验证成功输出:
[INFO] Signature verification succeeded Image: myapp:v1.0 Signer: [公钥指纹] Signature time: 2024-05-20T10:30:00Z Integrity check: PASSED
4.5.2 验证远程镜像
验证远程仓库镜像签名:
bashdocker run --rm \ -v $(pwd)/keys:/work/keys \ signatures-for-container-images \ verify \ --image harbor.example.com/library/myapp:v1.0 \ --public-key /work/keys/public.key \ --registry-url harbor.example.com
4.6 环境变量配置
通过环境变量简化命令参数,支持的变量如下:
| 环境变量名 | 描述 | 默认值 |
|---|---|---|
SIGN_KEY_PATH | 签名私钥默认路径 | /work/keys/private.key |
VERIFY_KEY_PATH | 验证公钥默认路径 | /work/keys/public.key |
SIGNATURE_DIR | 签名文件默认存储目录 | /work/signatures |
REGISTRY_URL | 默认容器registry地址 | docker.io |
SIGN_ALGORITHM | 默认签名算法(rsa/ecdsa/ed25519) | rsa |
REGISTRY_USERNAME | registry认证用户名 | 空 |
REGISTRY_PASSWORD | registry认证密码 | 空 |
示例:使用环境变量简化签名命令
bashdocker run --rm -v $(pwd)/data:/work \ -e SIGN_KEY_PATH=/work/keys/prod-key.key \ -e REGISTRY_URL=harbor.example.com \ -e REGISTRY_USERNAME=admin \ -e REGISTRY_PASSWORD=Harbor*** \ signatures-for-container-images \ sign --image myapp:v1.0
5. Docker部署示例
5.1 密钥生成与镜像签名完整流程
bash# 1. 创建工作目录 mkdir -p ./keys ./signatures # 2. 生成ECDSA密钥对 docker run --rm -v $(pwd)/keys:/work/keys \ signatures-for-container-images \ key generate --algorithm ecdsa --bits 384 --key-path /work/keys # 3. 对本地镜像签名(假设已构建myapp:v1.0) docker run --rm -v $(pwd)/keys:/work/keys -v $(pwd)/signatures:/work/signatures -v /var/run/docker.sock:/var/run/docker.sock \ signatures-for-container-images \ sign \ --image myapp:v1.0 \ --private-key /work/keys/private.key \ --output /work/signatures/myapp-v1.0.sig # 4. 验证签名 docker run --rm -v $(pwd)/keys:/work/keys -v $(pwd)/signatures:/work/signatures -v /var/run/docker.sock:/var/run/docker.sock \ signatures-for-container-images \ verify \ --image myapp:v1.0 \ --public-key /work/keys/public.key \ --signature /work/signatures/myapp-v1.0.sig
6. 注意事项
- 私钥安全:私钥是签名核心,需存储在加密介质(如Vault、KMS),禁止直接挂载到容器持久化存储
- Docker socket挂载风险:挂载
/var/run/docker.sock会授予容器对Docker守护进程的访问权限,生产环境建议使用远程镜像验证替代本地镜像操作 - 密钥轮换:建议每90天轮换一次签名密钥,旧密钥需保留用于验证历史镜像
- registry认证:访问私有仓库时,优先使用token认证(如 Harbor 的机器人账户token)而非明文密码
7. 命令参考
| 命令 | 子命令 | 功能描述 | 核心参数示例 |
|---|---|---|---|
key | generate | 生成密钥对 | --algorithm ecdsa --bits 384 |
key | import | 导入外部密钥 | --type private --input <路径> |
sign | - | 签名镜像 | --image <镜像名> --private-key <路径> |
verify | - | 验证镜像签名 | --image <镜像名> --public-key <路径> --signature <路径> |
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker加速体验非常流畅,大镜像也能快速完成下载。"
常见问题
Q1:轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
Q2:轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
Q3:流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
Q4:410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
Q5:manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
Q6:镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像加速服务
Windows/Mac
在 Docker Desktop 配置镜像加速
Docker Compose
Docker Compose 项目配置加速
K8s Containerd
Kubernetes 集群配置 Containerd
宝塔面板
在宝塔面板一键配置镜像加速
群晖
Synology 群晖 NAS 配置加速
飞牛
飞牛 fnOS 系统配置镜像加速
极空间
极空间 NAS 系统配置加速服务
爱快路由
爱快 iKuai 路由系统配置加速
绿联
绿联 NAS 系统配置镜像加速
威联通
QNAP 威联通 NAS 配置加速
Podman
Podman 容器引擎配置加速
Singularity/Apptainer
HPC 科学计算容器配置加速
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名加速
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429