《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用签名容器(2) https://developer.aliyun.com/article/1231239?groupCode=aliyun_linux
步骤七:启动并验证带签名的镜像
1. 创建RuntimeClass对象kata
用户可以使用RuntimeClass为pod指定不同的运行时,这里使用kata作为验证时使用的运行时。 在集群中执行以下命令,创建RuntimeClass对象kata。
cat <<-EOF | kubectl apply -f - apiVersion: node.k8s.io/v1 kind: RuntimeClass metadata: name: kata handler: kata EOF
2. 部署pod
如果 pod 的 runtimeClassName 设置为 kata,CRI 插件会使用 Kata Containers 运行时运行 pod。 执行以下命令,部署名称为sig-test的pod。
注意:在实际操作中,应将用户docker.io/test更名为实际操作的用户名,docker.io/xxxx。
cat <<-EOF | kubectl apply -f - apiVersion: v1 kind: Pod metadata: name: sig-test spec: runtimeClassName: kata containers: - image: docker.io/test/busybox:sig-test command: - top imagePullPolicy: IfNotPresent name: csv-sig-test restartPolicy: Never EOF
3. 测试签名镜像是否部署成功
执行以下命令,查看加密镜像是否部署成功:
kubectl get pods
预期输出类似如下:
NAME READY STATUS RESTARTS AGE sig-test 1/1 Running 0 23s
