Le chiffrement d’une image de container est un sujet assez peu \u00e9voqu\u00e9. Les premiers exemples de solution n’apparaissant qu’\u00e0 partir de 2019, pouss\u00e9 en particulier par Brandon Lum de IBM.<\/p>\n\n\n\n
Le support de ces fonctionnalit\u00e9s ne semble pas tr\u00e8s r\u00e9pandu pour le moment. Du c\u00f4t\u00e9 des outils, nous parlons actuellement de Voici \u00e0 la suite, les \u00e9tapes de mon test de chiffrement d’une image de container, r\u00e9alis\u00e9 sous ArchLinux, mais transposable \u00e0 toute autre distribution, \u00e0 condition de pouvoir installer l’ensemble de d\u00e9pendances.<\/p>\n\n\n\n Sous ArchLinux, installation des composants:<\/p>\n\n\n\n D\u00e9marrage d’un registre local pour y stocker l’image chiffr\u00e9e que je vais g\u00e9n\u00e9rer.<\/p>\n\n\n\n Avec pour contenu du Et Export vers le registre local.<\/p>\n\n\n\n Export local dans une archive oci.<\/p>\n\n\n\n Suppression de toutes les images locales.<\/p>\n\n\n\n Tentative de r\u00e9cup\u00e9ration de l’image depuis le registre local, sans pr\u00e9ciser la clef.<\/p>\n\n\n\n D\u00e9marrage d’un cluster Kubernetes avec Installation du composant responsable d\u00e9ploiement de la clef de d\u00e9chiffrement.<\/p>\n\n\n\n Au moment de mes premiers tests, je ne crois pas avoir rencontr\u00e9 de difficult\u00e9 \u00e0 r\u00e9cup\u00e9rer l’image dans le registre local. N\u00e9anmoins, lors de tests plus r\u00e9cents, je n’ai pas r\u00e9ussi \u00e0 reproduire ce fonctionnement sur d’autres plateformes. En revanche, une r\u00e9cup\u00e9ration depuis le registre docker, ou celui propos\u00e9 dans la Google Cloud Plateform fonctionne.<\/p>\n\n\n\n Il me reste maintenant \u00e0 reproduire ce m\u00e9canisme sur un cas r\u00e9el complet, c’est-\u00e0-dire, de l’int\u00e9gration au processus et aux outils de CI\/CD, \u00e0 la configuration du cluster Kubernetes cible, avec pour objectif un d\u00e9ploiement de la solution en production.<\/p>\n\n\n\n Le chiffrement d’une image de container est un sujet assez peu \u00e9voqu\u00e9. Les premiers exemples de solution n’apparaissant qu’\u00e0 partir de 2019, pouss\u00e9 en particulier par Brandon Lum de IBM. Le support de ces fonctionnalit\u00e9s ne semble pas tr\u00e8s r\u00e9pandu pour le moment. Du c\u00f4t\u00e9 des outils, nous parlons actuellement de buildah et skopeo pour … Continuer la lecture de « Chiffrement d’une image de container »<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[377],"tags":[562,380,581,181,582],"class_list":["post-4311","post","type-post","status-publish","format-standard","hentry","category-crypto","tag-buildah","tag-chiffrement","tag-container","tag-docker","tag-encryption"],"_links":{"self":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/4311","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4311"}],"version-history":[{"count":19,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/4311\/revisions"}],"predecessor-version":[{"id":4552,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/4311\/revisions\/4552"}],"wp:attachment":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}buildah<\/code> et skopeo<\/code> pour la partie build, containerd<\/code> et cri-o<\/code> pour la partie runtime et enfin docker distribution pour la partie registry. A priori, il ne semble pas y avoir de support dans docker, mais un commentaire au d\u00e9tour d’une issue GitHub semblait indiquer que cela sera le cas. Je n’ai en revanche pas trouv\u00e9 d’annonce ou de roadmap permettant de valider ce point.<\/p>\n\n\n\nPr\u00e9paration<\/h2>\n\n\n\n
Installation des D\u00e9pendances<\/h4>\n\n\n\n
$ sudo pacman -S docker containerd buildah podman minikube kubectl helm\n$ sudo systemctl start docker\n$ sudo gpasswd -a <user> docker<\/pre>\n\n\n\n
Registre d’image local<\/h4>\n\n\n\n
$ sudo systemctl start docker \n$ sudo systemctl status docker\n$ sudo docker run -d -p 5000:5000 --restart=always --name registry registry:2<\/pre>\n\n\n\n
G\u00e9n\u00e9ration du couple de cl\u00e9<\/h4>\n\n\n\n
$ openssl genrsa -out testKey.pem 2048\n$ openssl rsa -in testKey.pem -pubout -out testKey.pub.pem<\/pre>\n\n\n\n
Cr\u00e9ation d’une image basique<\/h4>\n\n\n\n
$ mkdir app\n$ cd app\n$ nano Dockerfile\n$ nano secret-file<\/pre>\n\n\n\n
Dockerfile<\/code>:<\/p>\n\n\n\nFROM nginx:latest
COPY secret-file \/secret-file<\/pre>\n\n\n\nsecret-file<\/code>, un simple fichier texte contenant une cha\u00eene de caract\u00e8re al\u00e9atoire.<\/p>\n\n\n\nConstruction de l’image<\/h2>\n\n\n\n
$ sudo buildah bud -t encrypted-test .<\/pre>\n\n\n\n
Export<\/h4>\n\n\n\n
$ sudo buildah push --tls-verify=false --encryption-key jwe:..\/testKey.pub.pem encrypted-test localhost:5000\/vvision\/encrypted-test:latest<\/pre>\n\n\n\n
$ sudo buildah push --encryption-key jwe:..\/testKey.pub.pem encrypted-test oci-archive:encrypted-test:latest<\/pre>\n\n\n\n
Nettoyage<\/h4>\n\n\n\n
$ sudo buildah rmi --all<\/pre>\n\n\n\n
R\u00e9cup\u00e9ration de l’image<\/h4>\n\n\n\n
$ sudo buildah pull --tls-verify=false --decryption-key keys\/testKey.pem localhost:5000\/vvision\/encrypted-test<\/pre>\n\n\n\n
Ex\u00e9cution<\/h4>\n\n\n\n
$ sudo podman run -it localhost:5000\/vvision\/encrypted-test<\/pre>\n\n\n\n
\/bin\/bashroot@3e3c1ccde93c:\/# cat secret-file
ASecretSecret<\/pre>\n\n\n\nV\u00e9rification<\/h4>\n\n\n\n
$ sudo buildah pull --tls-verify=false localhost:5000\/vvision\/encrypted-test Getting image source signatures\nCopying blob 302a0c0a162e [--------------------------------------] 0.0b \/ 914.0b\nCopying blob 83e2b8dcdf4b [--------------------------------------] 0.0b \/ 27.1MiB\nCopying blob 9b30e9f5d77e [--------------------------------------] 0.0b \/ 617.0b\nCopying blob 0f9f80250abf [--------------------------------------] 0.0b \/ 134.0b\nCopying blob 7c9b3bc4d85b [--------------------------------------] 0.0b \/ 26.3MiB\nCopying blob 538a8875d492 [--------------------------------------] 0.0b \/ 678.0b\nError decrypting layer sha256:83e2b8dcdf4bfca8bea0b23e771e84074e4cc308bf892bd6d63b3a0c9dab0564: missing private key needed for decryption<\/pre>\n\n\n\n
Utilisation dans Kubernetes<\/h2>\n\n\n\n
minikube<\/code>.<\/p>\n\n\n\n$ minikube start --network-plugin=cni --enable-default-cni --container-runtime=cri-o --bootstrapper=kubeadm --insecure-registry=\"<local_ip_addr>:5000\"\n$ minikube dashboard<\/pre>\n\n\n\n
M\u00e9canisme de synchronisation des clefs<\/h4>\n\n\n\n
$ git clone https:\/\/github.com\/IBM\/k8s-enc-image-operator.git\n$ cd k8s-enc-image-operator\n$ kubectl create namespace enc-key-sync\n$ helm install --namespace=enc-key-sync k8s-enc-image-operator .\/helm-operator\/helm-charts\/enckeysync\/<\/pre>\n\n\n\n
Ajout de la cl\u00e9 dans Kubernetes Secret<\/h4>\n\n\n\n
$ kubectl create -n enc-key-sync secret generic --type=key --from-file=testKey.pem test-decryption-key<\/pre>\n\n\n\n
D\u00e9ploiement du container<\/h4>\n\n\n\n
$ kubectl run test-enc --image=localhost:5000\/vvision\/encrypted-test<\/pre>\n\n\n\n
Conclusion<\/h2>\n\n\n\n
Sources<\/h2>\n\n\n\n