Descarga imágenes firmadas de Docker Hub

A fin de garantizar la integridad de todas las imágenes de contenedor de entorno de ejecución publicadas y descargadas para los sistemas de producción, la asistencia de firma de imágenes ahora está disponible para todas las imágenes de Apigee Hybrid que usan Docker Hub. Todas las imágenes de entorno de ejecución híbrida están disponibles de forma pública para descargar desde la cuenta de Google Docker Hub.

Las imágenes híbridas se firman con la Confianza de contenido de Docker, una función que permite a los usuarios verificar la integridad y el publicador de cada imagen compilada y en ejecución en un registro de Docker. Estas firmas permiten la verificación del cliente o del entorno de ejecución de etiquetas de imagen específicas en función de las claves de publicador, lo que garantiza que la imagen sea exactamente lo que el publicador creó y envió para su publicación.

Descarga imágenes de contenedor firmadas

Si usas un clúster de Kubernetes sin acceso a Internet para implementar tus servicios de entorno de ejecución híbrido, deberás descargar las imágenes de contenedor en un registro de contenedor local y, luego, acceder al registro desde tu clúster de Kubernetes.

Para descargar una imagen de contenedor firmada, debes tener Docker instalado y usar el comando docker pull de la siguiente manera. Asegúrate de agregar la etiqueta correcta a cada nombre de imagen. Por ejemplo, la etiqueta para apigee-synchronizer es 1.1.1, como se muestra a continuación.

docker pull google/apigee-mart-server:1.1.1
docker pull google/apigee-synchronizer:1.1.1
docker pull google/apigee-runtime:1.1.1
docker pull google/apigee-authn-authz:1.1.1
docker pull google/apigee-cassandra-client:1.1.1
docker pull google/apigee-cassandra-backup-utility:1.1.1
docker pull google/apigee-cassandra:1.1.1
docker pull google/apigee-udca:1.1.1
docker pull google/apigee-stackdriver-logging-agent:1.6.8
docker pull google/apigee-prom-prometheus:v2.9.2
docker pull google/apigee-stackdriver-prometheus-sidecar:release-0.4.0
docker pull google/busybox:1.30.1

Verifica la persona que firma y las firmas de la imagen de contenedor

Para verificar que se haya firmado una imagen, ejecuta el siguiente comando:

docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG

El resultado de este comando te permitirá saber si se firmó la imagen etiquetada, el nombre de las personas que firman y una lista de las personas que firman y las claves. Por ejemplo:

docker trust inspect --pretty google/apigee-mart-server:1.1.1

Signatures for google/apigee-mart-server:1.1.1
SIGNED TAG          DIGEST                                       SIGNERSbeta2
a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322   asf-admin
List of signers and their keys for google/apigee-mart-server:1.1.1
SIGNER              KEYSasf-admin           7d4abdbb7bfd
Administrative keys for google/apigee-mart-server:1.1.1
Repository Key:       80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a
Root Key:     6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca