always - эта политика проверяет по хэш сумме и скачивает образ только и только тогда когда образа с такой хэш суммой нет на ноде, на которой запускается под.
Да, я и написал:
Если у вас все запускается по чексуммам, можете не париться....
Однако, часто(а на моей практике как правило) наш брат хочет запускать все по тэгам, ввиду особенностей CI\CD, удобство и т.п..
// Я только не понял, а где сам выданный сертификат находиться раз в образ его решили не класть?
создается дополнительный тэг dia-<sha256sum> в котором и хранит публичную часть ключа. т.е. в репозитории у вас кроме основного образа, образ с сертификатом
Да, я и написал:
Если у вас все запускается по чексуммам, можете не париться....
Однако, часто(а на моей практике как правило) наш брат хочет запускать все по тэгам, ввиду особенностей CI\CD, удобство и т.п..
// Я только не понял, а где сам выданный сертификат находиться раз в образ его решили не класть?
создается дополнительный тэг dia-<sha256sum> в котором и хранит публичную часть ключа.
т.е. в репозитории у вас кроме основного образа, образ с сертификатом
registry.local/alpine:latest
registry.local/alpine:dia-284dffdsf34829fdsffjsdlf38438
В реестре по факту x2 тэгов. Во втором у вас только серт и он очень легкий(
FROM scratch
ADD cert.pem)