亚洲国产日韩欧美一区二区三区,精品亚洲国产成人av在线,国产99视频精品免视看7,99国产精品久久久久久久成人热,欧美日韩亚洲国产综合乱

目錄 搜尋
Compose About versions and upgrading (Compose) ASP.NET Core + SQL Server on Linux (Compose) CLI environment variables (Compose) Command-line completion (Compose) Compose(組成) Compose command-line reference(組合命令行參考) Control startup order (Compose) Django and PostgreSQL (Compose) Docker stacks and distributed application bundles (Compose) docker-compose build(docker-compose構(gòu)建) docker-compose bundle docker-compose config docker-compose create docker-compose down docker-compose events docker-compose exec docker-compose help docker-compose images docker-compose kill docker-compose logs docker-compose pause docker-compose port docker-compose ps docker-compose pull docker-compose push docker-compose restart docker-compose rm docker-compose run docker-compose scale docker-compose start docker-compose stop docker-compose top docker-compose unpause docker-compose up Environment file (Compose) Environment variables in Compose Extend services in Compose Frequently asked questions (Compose) Getting started (Compose) Install Compose Link environment variables (deprecated) (Compose) Networking in Compose Overview of Docker Compose Overview of docker-compose CLI Quickstart: Compose and WordPress Rails and PostgreSQL (Compose) Sample apps with Compose Using Compose in production Using Compose with Swarm Engine .NET Core application (Engine) About images, containers, and storage drivers (Engine) Add nodes to the swarm (Engine) Apply custom metadata (Engine) Apply rolling updates (Engine) apt-cacher-ng Best practices for writing Dockerfiles (Engine) Binaries (Engine) Bind container ports to the host (Engine) Breaking changes (Engine) Build your own bridge (Engine) Configure container DNS (Engine) Configure container DNS in user-defined networks (Engine) CouchDB (Engine) Create a base image (Engine) Create a swarm (Engine) Customize the docker0 bridge (Engine) Debian (Engine) Default bridge network Delete the service (Engine) Deploy a service (Engine) Deploy services to a swarm (Engine) Deprecated Engine features Docker container networking (Engine) Docker overview (Engine) Docker run reference (Engine) Dockerfile reference (Engine) Dockerize an application Drain a node (Engine) Engine FAQ (Engine) Fedora (Engine) Get started (Engine) Get started with macvlan network driver (Engine) Get started with multi-host networking (Engine) How nodes work (Engine) How services work (Engine) Image management (Engine) Inspect the service (Engine) Install Docker (Engine) IPv6 with Docker (Engine) Join nodes to a swarm (Engine) Legacy container links (Engine) Lock your swarm (Engine) Manage nodes in a swarm (Engine) Manage sensitive data with Docker secrets (Engine) Manage swarm security with PKI (Engine) Manage swarm service networks (Engine) Migrate to Engine 1.10 Optional Linux post-installation steps (Engine) Overview (Engine) PostgreSQL (Engine) Raft consensus in swarm mode (Engine) Riak (Engine) Run Docker Engine in swarm mode Scale the service (Engine) SDKs (Engine) Select a storage driver (Engine) Set up for the tutorial (Engine) SSHd (Engine) Storage driver overview (Engine) Store service configuration data (Engine) Swarm administration guide (Engine) Swarm mode key concepts (Engine) Swarm mode overlay network security model (Engine) Swarm mode overview (Engine) Understand container communication (Engine) Use multi-stage builds (Engine) Use swarm mode routing mesh (Engine) Use the AUFS storage driver (Engine) Use the Btrfs storage driver (Engine) Use the Device mapper storage driver (Engine) Use the OverlayFS storage driver (Engine) Use the VFS storage driver (Engine) Use the ZFS storage driver (Engine) Engine: Admin Guide Amazon CloudWatch logs logging driver (Engine) Bind mounts (Engine) Collect Docker metrics with Prometheus (Engine) Configuring and running Docker (Engine) Configuring logging drivers (Engine) Control and configure Docker with systemd (Engine) ETW logging driver (Engine) Fluentd logging driver (Engine) Format command and log output (Engine) Google Cloud logging driver (Engine) Graylog Extended Format (GELF) logging driver (Engine) Journald logging driver (Engine) JSON File logging driver (Engine) Keep containers alive during daemon downtime (Engine) Limit a container's resources (Engine) Link via an ambassador container (Engine) Log tags for logging driver (Engine) Logentries logging driver (Engine) PowerShell DSC usage (Engine) Prune unused Docker objects (Engine) Run multiple services in a container (Engine) Runtime metrics (Engine) Splunk logging driver (Engine) Start containers automatically (Engine) Storage overview (Engine) Syslog logging driver (Engine) tmpfs mounts Troubleshoot volume problems (Engine) Use a logging driver plugin (Engine) Using Ansible (Engine) Using Chef (Engine) Using Puppet (Engine) View a container's logs (Engine) Volumes (Engine) Engine: CLI Daemon CLI reference (dockerd) (Engine) docker docker attach docker build docker checkpoint docker checkpoint create docker checkpoint ls docker checkpoint rm docker commit docker config docker config create docker config inspect docker config ls docker config rm docker container docker container attach docker container commit docker container cp docker container create docker container diff docker container exec docker container export docker container inspect docker container kill docker container logs docker container ls docker container pause docker container port docker container prune docker container rename docker container restart docker container rm docker container run docker container start docker container stats docker container stop docker container top docker container unpause docker container update docker container wait docker cp docker create docker deploy docker diff docker events docker exec docker export docker history docker image docker image build docker image history docker image import docker image inspect docker image load docker image ls docker image prune docker image pull docker image push docker image rm docker image save docker image tag docker images docker import docker info docker inspect docker kill docker load docker login docker logout docker logs docker network docker network connect docker network create docker network disconnect docker network inspect docker network ls docker network prune docker network rm docker node docker node demote docker node inspect docker node ls docker node promote docker node ps docker node rm docker node update docker pause docker plugin docker plugin create docker plugin disable docker plugin enable docker plugin inspect docker plugin install docker plugin ls docker plugin push docker plugin rm docker plugin set docker plugin upgrade docker port docker ps docker pull docker push docker rename docker restart docker rm docker rmi docker run docker save docker search docker secret docker secret create docker secret inspect docker secret ls docker secret rm docker service docker service create docker service inspect docker service logs docker service ls docker service ps docker service rm docker service scale docker service update docker stack docker stack deploy docker stack ls docker stack ps docker stack rm docker stack services docker start docker stats docker stop docker swarm docker swarm ca docker swarm init docker swarm join docker swarm join-token docker swarm leave docker swarm unlock docker swarm unlock-key docker swarm update docker system docker system df docker system events docker system info docker system prune docker tag docker top docker unpause docker update docker version docker volume docker volume create docker volume inspect docker volume ls docker volume prune docker volume rm docker wait Use the Docker command line (Engine) Engine: Extend Access authorization plugin (Engine) Docker log driver plugins Docker network driver plugins (Engine) Extending Engine with plugins Managed plugin system (Engine) Plugin configuration (Engine) Plugins API (Engine) Volume plugins (Engine) Engine: Security AppArmor security profiles for Docker (Engine) Automation with content trust (Engine) Content trust in Docker (Engine) Delegations for content trust (Engine) Deploying Notary (Engine) Docker security (Engine) Docker security non-events (Engine) Isolate containers with a user namespace (Engine) Manage keys for content trust (Engine) Play in a content trust sandbox (Engine) Protect the Docker daemon socket (Engine) Seccomp security profiles for Docker (Engine) Secure Engine Use trusted images Using certificates for repository client verification (Engine) Engine: Tutorials Engine tutorials Network containers (Engine) Get Started Part 1: Orientation Part 2: Containers Part 3: Services Part 4: Swarms Part 5: Stacks Part 6: Deploy your app Machine Amazon Web Services (Machine) Digital Ocean (Machine) docker-machine active docker-machine config docker-machine create docker-machine env docker-machine help docker-machine inspect docker-machine ip docker-machine kill docker-machine ls docker-machine provision docker-machine regenerate-certs docker-machine restart docker-machine rm docker-machine scp docker-machine ssh docker-machine start docker-machine status docker-machine stop docker-machine upgrade docker-machine url Driver options and operating system defaults (Machine) Drivers overview (Machine) Exoscale (Machine) Generic (Machine) Get started with a local VM (Machine) Google Compute Engine (Machine) IBM Softlayer (Machine) Install Machine Machine Machine CLI overview Machine command-line completion Machine concepts and help Machine overview Microsoft Azure (Machine) Microsoft Hyper-V (Machine) Migrate from Boot2Docker to Machine OpenStack (Machine) Oracle VirtualBox (Machine) Provision AWS EC2 instances (Machine) Provision Digital Ocean Droplets (Machine) Provision hosts in the cloud (Machine) Rackspace (Machine) VMware Fusion (Machine) VMware vCloud Air (Machine) VMware vSphere (Machine) Notary Client configuration (Notary) Common Server and signer configurations (Notary) Getting started with Notary Notary changelog Notary configuration files Running a Notary service Server configuration (Notary) Signer configuration (Notary) Understand the service architecture (Notary) Use the Notary client
文字

此頁面解釋了為運(yùn)行自己的公證服務(wù)的用戶提供的公證客戶端的高級用途。確保你已經(jīng)讀過并理解了如何經(jīng)營自己的公證服務(wù)在繼續(xù)之前。

關(guān)于這些例子的一個重要說明

此文檔的命令示例省略了-s-d旗子。如果您不知道這些選項是什么,請閱讀開始文檔或運(yùn)行notary --help在繼續(xù)之前。一旦了解了這些標(biāo)志的作用,就必須在遵循本文檔時為這些選項提供自己的值。您還可以配置這些選項,請參見高級配置選項想了解更多信息。

初始化受信任的集合

在向集合添加和簽名內(nèi)容之前,必須先初始化該集合。

$ notary init example.com/collection

No root keys found. Generating a new root key...You are about to create a new root signing key passphrase. This passphrase
will be used to protect the most sensitive key in your signing system. Please
choose a long, complex passphrase and be careful to keep the password and the
key file itself secure and backed up. It is highly recommended that you use a
password manager to generate the passphrase and keep it safe. There will be no
way to recover this key. You can find the key in your config directory.Enter passphrase for new root key with ID 1f54328:Repeat passphrase for new root key with ID 1f54328:Enter passphrase for new targets key with ID 1df39fc (example.com/collection):Repeat passphrase for new targets key with ID 1df39fc (example.com/collection):

初始化受信任的集合將生成以下項;所有密鑰都使用非對稱算法,但不要求它們都使用算法:

  • 如果沒有找到根鍵,將生成一個初始根鍵。此鍵將用作所有受信任集合的默認(rèn)信任根。

  • 目標(biāo)鍵和快照鍵。如果可信集合%29的作者持有的安全配置文件%28相同,則使用相同的密碼來加密這兩種密碼。這就是為什么您不會被要求提供快照密鑰密碼的原因。

  • 時間戳鍵。這是由服務(wù)器根據(jù)來自客戶端的請求生成的,只返回公鑰。服務(wù)器持有私鑰,并將代表用戶簽署時間戳。

  • 存根簽署公證元數(shù)據(jù)。此階段為集合的信任元數(shù)據(jù)的基本版本。它將在發(fā)布到服務(wù)器時最后確定。

添加和刪除目標(biāo)

使用公證CLI向受信任的集合添加目標(biāo)非常簡單:

$ notary add example.com/collection v1 my_file.txt

上面的命令添加本地文件。my_file.txt%28該文件必須相對于目標(biāo)名稱下的當(dāng)前工作目錄%29存在v1example.com/collection我們建立的集合。本地文件的內(nèi)容實際上沒有添加到集合中--“目標(biāo)”由文件路徑和內(nèi)容的一個或多個校驗和組成。

注意,這是一個脫機(jī)命令,我們必須運(yùn)行notary publish example.com/collection使添加生效。

要刪除目標(biāo),我們使用notary remove命令,指定槍和目標(biāo)名稱。

$ notary remove example.com/collection v1

移除目標(biāo)也是一個脫機(jī)命令,它需要notary publish example.com/collection才能生效。

管理密鑰

默認(rèn)情況下,公證客戶端負(fù)責(zé)管理根、目標(biāo)和快照角色的私鑰。在初始化新的受信任集合時,默認(rèn)情況下將生成所有這些鍵。鑰匙在公證處trust_dir目錄。此外,如果存在委托角色,則這些角色的密鑰也將由公證客戶端管理。

公證服務(wù)器始終負(fù)責(zé)管理時間戳密鑰。但是,如果快照密鑰從公證客戶端旋轉(zhuǎn)到服務(wù)器,則公證服務(wù)器可以管理快照密鑰,如下節(jié)所述。

旋轉(zhuǎn)鍵

在可能發(fā)生妥協(xié)的情況下,公證人提供了一個用于旋轉(zhuǎn)鍵的CLI命令。當(dāng)前,可以使用notary key rotate命令旋轉(zhuǎn)目標(biāo)或快照鍵。

默認(rèn)情況下,快照鍵由公證客戶端管理,但請使用notary key rotate snapshot -r命令將快照鍵旋轉(zhuǎn)到服務(wù)器,以便公證服務(wù)器隨后對快照進(jìn)行簽名。當(dāng)使用帶可信集合的委托時,這一點(diǎn)尤其有用,這樣委托就不會需要訪問快照鍵來將更新推送到集合中。

注意,由Docker 1.11引擎客戶端創(chuàng)建的新集合將使服務(wù)器默認(rèn)管理快照鍵。若要在客戶端上恢復(fù)對快照鍵的控制,請使用notary key rotate命令,而不使用-r旗子。

目標(biāo)鍵必須是本地管理的--要旋轉(zhuǎn)目標(biāo)鍵,例如,在發(fā)生妥協(xié)的情況下,請使用notary key rotate targets命令,而不使用-r旗子。

使用Yubikey

公證人可與Yubikey 4鍵,當(dāng)Yubikey啟用CCID模式時,通過PKCS 11接口。Yubikey將被優(yōu)先用于存儲根密鑰,并且需要用戶觸摸輸入才能簽名。請注意,DockerEngine 1.11客戶端中包含了Yubikey支持,以便與DockerContentTrust一起使用。

Yubikey支持需要Yubico PIV圖書館%28與PIV工具捆綁在標(biāo)準(zhǔn)庫位置中。

使用委托角色

委托角色簡化了公證可信集合中的協(xié)作者工作流,還允許在集合的委托內(nèi)容中具有細(xì)粒度的權(quán)限。本質(zhì)上,委托角色是目標(biāo)角色的受限版本,只允許在特定文件中簽名目標(biāo)。

委托角色被賦予自己的密鑰,這樣每個協(xié)作者都可以保留自己的私鑰,而無需管理員共享目標(biāo)密鑰或允許協(xié)作者對集合的所有目標(biāo)進(jìn)行寫訪問。

在添加任何委托之前,應(yīng)該將快照鍵旋轉(zhuǎn)到服務(wù)器。請注意,默認(rèn)情況下,這是為使用Docker Engine 1.11客戶端創(chuàng)建的新集合執(zhí)行的。這樣,委派角色將不需要快照鍵將自己的目標(biāo)發(fā)布到集合,因為服務(wù)器可以使用委托目標(biāo)發(fā)布有效的快照:

$ notary key rotate example.com/collection snapshot -r

這兒-r指定旋轉(zhuǎn)遠(yuǎn)程服務(wù)器的鍵。

添加委托時,您必須獲得一個具有您希望委派的用戶的公鑰的x 509證書。將承擔(dān)此委托角色的用戶必須持有私鑰,才能與公證人簽署內(nèi)容。

一旦獲得了委托的x 509證書,就可以為該用戶添加一個委托:

$ notary delegation add example.com/collection targets/releases cert.pem --paths="delegation/path"

前面的示例演示了添加委托的請求。targets/releases對槍example.com/collection.代表團(tuán)名稱必須以targets/有效,因為所有代表團(tuán)都是目標(biāo)作用的限制性版本。該命令添加x 509證書中包含的公鑰。cert.pemtargets/releases代表團(tuán)。

targets/releases委托角色簽名內(nèi)容時,委托用戶必須擁有與此公鑰相對應(yīng)的私鑰。此命令將此委托限制為僅在以下路徑名下發(fā)布內(nèi)容:delegation/path對于給定的“委托/路徑”路徑,targets/releases角色將能夠?qū)Α拔?路徑/content.txt”、“委托/路徑”等路徑進(jìn)行簽名。[醫(yī)]文件txt和“委托/path.txt”??梢栽诙禾柗指舻牧斜碇刑砑痈嗦窂?。--paths,或者通過--all-paths標(biāo)志允許此委托在任何路徑名下發(fā)布內(nèi)容。

發(fā)布之后,可以使用List命令查看委托:

$ notary delegation list example.com/collection

      ROLE               PATHS                                   KEY IDS                                THRESHOLD---------------------------------------------------------------------------------------------------------------
  targets/releases   delegation/path   729c7094a8210fd1e780e7b17b7bb55c9a28a48b871b07f65d97baf93898523a   1

你可以看到targets/releases它的路徑和密鑰ID。如果您希望修改這些字段,可以使用notary delegation addnotary delegation remove關(guān)于這個角色的命令。

閾值1中指定的鍵之一。KEY IDS必須向這個代表團(tuán)公布。目前不支持1以外的閾值。若要完全刪除委托角色,或僅刪除單個鍵和/或路徑,請使用notary delegation remove指揮:

$ notary delegation remove example.com/user targets/releases

Are you sure you want to remove all data for this delegation? (yes/no)yes

Forced removal (including all keys and paths) of delegation role targets/releases to repository "example.com/user" staged for next publish.

可以通過將鍵作為參數(shù)傳遞,以及/或--paths旗子。使用--all-paths若要清除此角色的所有路徑,請執(zhí)行以下操作。如果您在委托角色中指定了當(dāng)前的所有密鑰ID,則將完全刪除該角色。

若要將目標(biāo)添加到指定的委托角色,可以使用notary add命令的--roles旗子。

您必須已為此角色導(dǎo)入了適當(dāng)?shù)奈忻荑€。要做到這一點(diǎn),您可以運(yùn)行notary key import <KEY_FILE> --role user使用私鑰PEM文件,或?qū)⑺借€PEM放在private/tuf_keys<KEY_ID>.key帶著rolePEM標(biāo)頭設(shè)置為user...

$ notary add example/collections delegation/path/target delegation_file.txt --roles=targets/releases

在前面的示例中,添加目標(biāo)delegation/path/target去收集example/collections準(zhǔn)備下一次出版。文件delegation_file.txt是目標(biāo)delegation/path/target使用委托角色targets/releases此目標(biāo)的路徑是有效的,因為它以委托角色的有效路徑為前綴。

notary listnotary remove命令也可以接受--roles標(biāo)志指定要從其中列出或移除目標(biāo)的角色。默認(rèn)情況下,這在基礎(chǔ)上運(yùn)行。targets角色。

若要從我們的代表團(tuán)中刪除此目標(biāo),請使用notary remove具有相同標(biāo)志的命令:

$ notary remove example/collections delegation/path/target --roles=targets/releases

使用內(nèi)容信任的委托

Docker Engine 1.10及以上版本支持使用targets/releases委托作為可信圖像標(biāo)記的規(guī)范源(如果存在的話)。

跑步時docker pull在Docker Engine 1.10上使用Docker Content Trust,Docker將嘗試搜索targets/releases角色,并將返回到默認(rèn)的targets如果不存在角色,則為。請注意,在搜索默認(rèn)值時targets角色,碼頭1.10可能會接其他非-targets/releases委托角色的簽名圖像(如果存在于此標(biāo)記中)。在Docker 1.11中,此行為被更改為docker pull帶有DockerContentTrust的命令必須只提取由targets/releases授權(quán)角色或targets基本角色。

跑步時docker push使用DockerContentTrust,DockerEngine 1.10將嘗試使用targets/releases如果存在委托角色,則返回到targets角色。在碼頭1.11,adocker push而是嘗試與目標(biāo)%28ex直接下的所有委托角色簽名和推送:targets/role但不是targets/nested/role%29,用戶有簽名密鑰。如果存在委托角色,但用戶沒有簽名密鑰,則推送將失敗。如果不存在委托角色,則推送將嘗試與基簽名。targets角色。

使用targets/releases使用內(nèi)容信任推拉圖像的角色,按照上述步驟添加和發(fā)布公證委托角色。添加委托時,--all-paths應(yīng)使用標(biāo)志允許對所有標(biāo)記進(jìn)行簽名。

磁盤上的文件和狀態(tài)

公證員在其trust_dir目錄,它是~/.notary默認(rèn)或通常~/.docker/trust啟用碼頭內(nèi)容信任時。在這個目錄中,trusted_certificates在集合中存儲用于引導(dǎo)信任的證書,tuf存儲要應(yīng)用于槍支的TUF元數(shù)據(jù)和更改器,以及private存儲私鑰。

root_keys子目錄private存儲根私鑰,而tuf_keys存儲目標(biāo)、快照和委托私鑰。

 ? 2017 Docker, Inc.

根據(jù)ApacheLicense,版本2.0獲得許可。

Docker和Docker標(biāo)志是Docker公司在美國和/或其他國家的商標(biāo)或注冊商標(biāo)。

Docker,Inc.和其他各方也可以在這里使用的其他術(shù)語中擁有商標(biāo)權(quán)。

上一篇: 下一篇: