Per garantire l'integrità di tutte le immagini container di runtime pubblicate e scaricate per i sistemi di produzione, il supporto per la firma delle immagini è ora disponibile per tutte le immagini ibride Apigee che utilizzano Docker Hub. Tutto il runtime ibrido le immagini sono disponibili pubblicamente per il download dal Google Docker Hub.
Le immagini ibride sono firmate con Docker Content Trust, una funzionalità che consente agli utenti di verificare l'integrità e il publisher di ogni immagine create ed eseguite in un Docker Registry. Queste firme consentono la verifica lato client o di runtime di tag immagine specifici rispetto alle chiavi del publisher, per fare in modo che l'immagine sia esattamente quella che il publisher ha creato e inviato per la pubblicazione.
Scarica le immagini container firmate
Se utilizzi un cluster Kubernetes senza accesso a internet per eseguire il deployment dei servizi di runtime ibridi, dovrai scaricare le immagini container in un Container Registry locale e poi accedere al registry dal tuo cluster Kubernetes.
Per scaricare un'immagine container firmata, devi avere Docker
installato e utilizza il comando docker pull
come segue. Assicurati di aggiungere il tag corretto.
al nome di ogni immagine. Ad esempio, il tag per apigee-synchronizer
è 1.2.0
,
come mostrato di seguito.
Immagini Istio:
docker pull google/apigee-istio-pilot:1.4.6 docker pull google/apigee-istio-kubectl:1.4.6" docker pull google/apigee-istio-galley:1.4.6" docker pull google/apigee-istio-node-agent-k8s:1.4.6" docker pull google/apigee-istio-proxyv2:1.4.6" docker pull google/apigee-istio-mixer:1.4.6" docker pull google/apigee-istio-citadel:1.4.6" docker pull google/apigee-istio-sidecar-injector:1.4.6"
Immagini del Gestore certificati:
docker pull google/apigee-cert-manager-controller:v0.12.0" docker pull google/apigee-cert-manager-webhook:v0.12.0" docker pull google/apigee-cert-manager-cainjector:v0.12.0"
immagini stack-driver:
docker pull google/apigee-stackdriver-logging-agent:1.6.8" docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.1"
Immagini Prometheus:
docker pull google/apigee-prom-prometheus:v2.9.2
Immagini kube-rbac-proxy:
google/apigee-kube-rbac-proxy:v0.4.1
Immagini Apigee:
docker pull google/apigee-authn-authz:1.2.0 docker pull google/apigee-mart-server:1.2.0 docker pull google/apigee-synchronizer:1.2.0 docker pull google/apigee-runtime:1.2.0 docker pull google/apigee-hybrid-cassandra-client:1.2.0 docker pull google/apigee-hybrid-cassandra:1.2.0 docker pull google/apigee-cassandra-backup-utility:1.2.0 docker pull google/apigee-udca:1.2.0 docker pull google/apigee-connect-agent:1.2.0 docker pull google/apigee-operators:1.2.0
Verifica il firmatario e le firme dell'immagine container
Per verificare che un'immagine sia stata firmata, esegui questo comando:
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
L'output di questo comando comunicherà se l'immagine taggata è firmata, il nome dei firmatari, e un elenco di firmatari e chiavi. Ad esempio:
docker trust inspect --pretty google/apigee-mart-server:1.2.0
Signatures for google/apigee-mart-server:1.2.0 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.2.0 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.2.0 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca