构建/编译仅用于签名验证而不用于签名的Kubernetes

Question

kubernetes v1.14是否有构建/编译标志，仅用于签名验证而不用于签名？我有一个嵌入式系统作为kubelet，它只是需要验证签名。我得到的错误是，kubelet[289]: remote_image.go:113] PullImage "quay.registry/reponame/podman-test:latest" from image service failed: rpc error: code = Unknown desc = Source image rejected: Invalid crypto engine表明kubernetes缺少签名的外部依赖项。

我尝试在这里添加类似于相关问题的：-tags "containers_image_openpgp "：https://github.com/containers/skopeo/issues/660

我当前的构建命令是make generated_files KUBE_BUILD_PLATFORMS="${HOST_GOOS}/${BUILD_GOARCH}"; make cross KUBE_BUILD_PLATFORMS=${GOOS}/${GOARCH}

Answer 1

错误来自GPG。确保您的设备在PATH中具有gpg或gpgv命令，并且signature verification with gpg command正常工作。gpgv是一个精简的仅用于验证的命令，您可以使用它，并且Kubernetes支持它。此外，GPG有编译时参数的a ton来启用/禁用它的一部分，一旦你让它工作，你就可以把它去掉。如果你发现GPG太臃肿，或者很难让它工作，你可以尝试使用https://sequoia-pgp.org/，它可以编译成静态链接的二进制文件，而不需要外部依赖。您必须将对gpg命令的调用转换为对sqv的调用，但它们的CLI接口是really similar，因此使用shell脚本或您的嵌入式平台支持的任何语言应该很容易做到这一点。