Para garantir a integridade de todas as imagens de contêiner do ambiente de execução publicadas e transferidas por download para sistemas de produção, o suporte para assinatura de imagens agora está disponível para todas as imagens híbridas da Apigee usando o Docker Hub. Todas as imagens do ambiente de execução híbrido estão disponíveis publicamente para download na conta do Google Docker Hub.
As imagens híbridas são assinadas com o Docker Content Trust, um recurso que permite que os usuários verifiquem a integridade e o editor de cada imagem criada e em execução em um registro do Docker. Essas assinaturas permitem a verificação do cliente ou do ambiente de execução de tags de imagem específicas em relação às chaves do editor, garantindo que a imagem seja exatamente o que o editor criou e enviou para publicação.
Fazer o download de imagens de contêineres assinados
Se você estiver usando um cluster do Kubernetes sem acesso à Internet para implantar seus serviços do ambiente de execução híbrido, precisará fazer o download das imagens do contêiner para um registro de contêiner local e acessá-lo a partir do cluster do Kubernetes.
Para fazer o download de uma imagem de contêiner assinada, você precisa ter o Docker
instalado e usar o comando docker pull da seguinte maneira. Anexe a tag correta
a cada nome de imagem. Por exemplo, a tag para apigee-synchronizer é 1.2.0,
conforme mostrado abaixo.
Imagens do Istio:
docker pull google/apigee-istio-pilot:1.4.6 docker pull google/apigee-istio-kubectl:1.4.6" docker pull google/apigee-istio-galley:1.4.6" docker pull google/apigee-istio-node-agent-k8s:1.4.6" docker pull google/apigee-istio-proxyv2:1.4.6" docker pull google/apigee-istio-mixer:1.4.6" docker pull google/apigee-istio-citadel:1.4.6" docker pull google/apigee-istio-sidecar-injector:1.4.6"
Imagens do Cert Manager:
docker pull google/apigee-cert-manager-controller:v0.12.0" docker pull google/apigee-cert-manager-webhook:v0.12.0" docker pull google/apigee-cert-manager-cainjector:v0.12.0"
Imagens de driver de pilha:
docker pull google/apigee-stackdriver-logging-agent:1.6.8" docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.1"
Imagens do Prometheus:
docker pull google/apigee-prom-prometheus:v2.9.2
Imagens do Kube-rbac-proxy:
google/apigee-kube-rbac-proxy:v0.4.1
Imagens da Apigee:
docker pull google/apigee-authn-authz:1.2.0 docker pull google/apigee-mart-server:1.2.0 docker pull google/apigee-synchronizer:1.2.0 docker pull google/apigee-runtime:1.2.0 docker pull google/apigee-hybrid-cassandra-client:1.2.0 docker pull google/apigee-hybrid-cassandra:1.2.0 docker pull google/apigee-cassandra-backup-utility:1.2.0 docker pull google/apigee-udca:1.2.0 docker pull google/apigee-connect-agent:1.2.0 docker pull google/apigee-operators:1.2.0
Verificar o signatário e as assinaturas da imagem do contêiner
Para verificar se uma imagem foi assinada, execute o seguinte comando:
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
A saída desse comando mostrará se a imagem marcada está assinada, o nome dos signatários e uma lista de signatários e chaves. Exemplo:
docker trust inspect --pretty google/apigee-mart-server:1.2.0Signatures for google/apigee-mart-server:1.2.0 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.2.0 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.2.0 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca