Docker trust 是一種用于密鑰和簽名的 Docker 特性。它提供了構建和發布容器映像的高級安全性選項。Docker trust 的主要目的是確保 Docker 鏡像具有驗證并建立信任的片段。其中的加密解決方案可以防止內部滲透攻擊和信息竊取。

使用 Docker trust，我們可以訪問層次結構、簽名、加密和用戶管理等功能。鏡像層是 Docker Trust 中的基本單元，并且在簽名之前必須進行驗證。層的驗證遵循基于 SHA256 校驗和的特定過程，從而保證不會被篡改。

在創建一個 Docker 鏡像之前，我們需要設置 Docker trust 的環境變量使其在容器使用過程中生效，例如 enable trust, sign-by 等。這些命令為用戶和系統設置了安全性，同時提高了系統的的正確性和穩定性。

# 打開 Docker trust 環境變量
export DOCKER_CONTENT_TRUST=1
# 為當前用戶生成密鑰對
docker trust key generate
# 為鏡像簽名并上傳
docker trust sign repository/my-image
docker push repository/my-image

需要注意的是，Docker Trust 并不是一個新的安全特性，而是進一步增強 Docker 安全性的思想和實現方式。我們可以應用 Docker trust 來加強 Docker 內部的安全性，讓容器更加安全可靠。