本番環境システム用に公開またはダウンロードされるすべてのランタイム コンテナ イメージの完全性を維持するため、Docker Hub を使用するすべての Apigee ハイブリッド イメージで、イメージの署名がサポートされるようになりました。すべてのハイブリッド ランタイム イメージが一般公開され、Google Docker Hub アカウントからダウンロードできます。
ハイブリッド イメージは、Docker Content Trust を使用して署名されます。この機能により、Docker レジストリで作成、実行されているすべてのイメージの整合性とパブリッシャーをユーザーが確認できます。これらの署名を使用すると、特定のイメージタグとパブリッシャー キーの検証をクライアント側またはランタイム側で実行できます。これにより、パブリッシャーが作成して公開用に push したイメージであることを確認できます。
署名付きコンテナ イメージをダウンロードする
インターネットにアクセスしない Kubernetes クラスタを使用してハイブリッド ランタイム サービスをデプロイする場合、コンテナ イメージをローカルの Container Registry にダウンロードし、Kubernetes クラスタからレジストリにアクセスする必要があります。
署名付きのコンテナ イメージをダウンロードするには、Docker をインストールし、次のように docker pull
コマンドを使用する必要があります。それぞれのイメージ名に正しいタグを設定してください。たとえば、apigee-synchronizer
のタグは次のように 1.2.0
です。
Istio イメージ:
docker pull google/apigee-istio-pilot:1.4.6 docker pull google/apigee-istio-kubectl:1.4.6" docker pull google/apigee-istio-galley:1.4.6" docker pull google/apigee-istio-node-agent-k8s:1.4.6" docker pull google/apigee-istio-proxyv2:1.4.6" docker pull google/apigee-istio-mixer:1.4.6" docker pull google/apigee-istio-citadel:1.4.6" docker pull google/apigee-istio-sidecar-injector:1.4.6"
Cert Manager イメージ:
docker pull google/apigee-cert-manager-controller:v0.12.0" docker pull google/apigee-cert-manager-webhook:v0.12.0" docker pull google/apigee-cert-manager-cainjector:v0.12.0"
stack-driver イメージ:
docker pull google/apigee-stackdriver-logging-agent:1.6.8" docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.1"
Prometheus イメージ:
docker pull google/apigee-prom-prometheus:v2.9.2
Kube-rbac-proxy イメージ:
google/apigee-kube-rbac-proxy:v0.4.1
Apigee イメージ:
docker pull google/apigee-authn-authz:1.2.0 docker pull google/apigee-mart-server:1.2.0 docker pull google/apigee-synchronizer:1.2.0 docker pull google/apigee-runtime:1.2.0 docker pull google/apigee-hybrid-cassandra-client:1.2.0 docker pull google/apigee-hybrid-cassandra:1.2.0 docker pull google/apigee-cassandra-backup-utility:1.2.0 docker pull google/apigee-udca:1.2.0 docker pull google/apigee-connect-agent:1.2.0 docker pull google/apigee-operators:1.2.0
コンテナ イメージの署名者と署名を確認する
イメージが署名済みであることを確認するには、次のコマンドを実行します。
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
このコマンドの出力を見ると、タグ付きのイメージが署名済みかどうか、署名者の名前、署名者とキーのリストを確認できます。次に例を示します。
docker trust inspect --pretty google/apigee-mart-server:1.2.0
Signatures for google/apigee-mart-server:1.2.0 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.2.0 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.2.0 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca