A partir de Atlas Kubernetes Operator 2.2.0, el equipo de lanzamiento de MongoDB firma digitalmente los paquetes de Atlas Kubernetes Operator para certificar que son lanzamientos de MongoDB válidos y sin modificaciones.
Puedes verificar los paquetes del Atlas Kubernetes Operator usando una regla de makefile, o cosign.
Requisitos previos
Antes de poder verificar los paquetes del Atlas Kubernetes Operator, debes tener una copia local del repositorio del Atlas Kubernetes Operator.
Verificar con regla de Makefile
La regla makefile verify verifica la firma de una imagen multi-arquitectura del Atlas Kubernetes Operator.
Ejecuta el siguiente comando para verificar con las firmas en el registro de MongoDB mongodb/signatures. Reemplace los siguientes marcadores de posición con sus valores:
Marcador de posición | Descripción |
|---|---|
| La referencia de la imagen que desea verificar. |
| El repositorio que contiene todas las firmas contra las que desea verificar. |
make verify {IMG}=mongodb/mongodb-atlas-kubernetes-operator:2.2.0 {SIGNATURE_REPO}=mongodb/signatures
Si el comando se ejecuta correctamente, imprime VERIFIED OK. De lo contrario, imprime un error como Error: no matching signatures.
Verificar con Cosign
Instala Cosign.
Verificar el paquete.
Ejecute el siguiente comando para verificar el paquete de Atlas Kubernetes Operator. Sustituye los siguientes elementos de marcador de posición con tus valores:
Marcador de posición | Descripción |
|---|---|
| La referencia de la imagen que desea verificar. |
| El nombre del archivo al que descargaste la clave de firma PEM. |
COSIGN_REPOSITORY=mongodb/signatures cosign verify --insecure-ignore-tlog --key="${KEY_FILENAME}" "${IMG}" && echo PASS
Si el comando se ejecuta correctamente, imprime PASS. De lo contrario, imprime un error como Error: no matching signatures.