Signierte Images aus Docker Hub herunterladen

Damit die Integrität aller Laufzeitcontainer-Images gewährleistet und heruntergeladen wird, die für Produktionssysteme veröffentlicht wurden, ist jetzt für alle Apigee Hybrid-Images mit Docker Hub Support für die Image-Signatur verfügbar. Alle hybriden Laufzeit-Images sind öffentlich zum Herunterladen über das Konto Google Docker Hub verfügbar.

Hybrid-Images werden mit Docker Content Trust signiert. Diese Funktion ermöglicht es Nutzern, die Integrität und den Publisher von Images zu prüfen, die in einer Docker-Registry erstellt und ausgeführt werden. Diese Signaturen ermöglichen die clientseitige oder Laufzeitprüfung bestimmter Image-Tags anhand von Publisher-Schlüsseln. So wird sichergestellt, dass das Image genau dem entspricht, was der Publisher erstellt und zur Veröffentlichung gesendet hat.

Signierte Container-Images herunterladen

Wenn Sie einen Kubernetes-Cluster ohne Internetzugriff verwenden, um Ihre hybriden Laufzeitdienste bereitzustellen, müssen Sie die Container-Images in eine lokale Container Registry herunterladen und dann von Ihrem Kubernetes-Cluster auf die Registry zugreifen.

Zum Herunterladen eines signierten Container-Images sollten Sie Docker installieren und den Befehl docker pull so verwenden. Achten Sie darauf, dass Sie jedem Image-Namen das richtige Tag hinzufügen. Das Tag für apigee-synchronizer ist beispielsweise 1.2.0, wie nachstehend gezeigt.

Istio-Images:

docker pull google/apigee-istio-pilot:1.4.6
docker pull google/apigee-istio-kubectl:1.4.6"
docker pull google/apigee-istio-galley:1.4.6"
docker pull google/apigee-istio-node-agent-k8s:1.4.6"
docker pull google/apigee-istio-proxyv2:1.4.6"
docker pull google/apigee-istio-mixer:1.4.6"
docker pull google/apigee-istio-citadel:1.4.6"
docker pull google/apigee-istio-sidecar-injector:1.4.6"

Cert Manager-Images:

docker pull google/apigee-cert-manager-controller:v0.12.0"
docker pull google/apigee-cert-manager-webhook:v0.12.0"
docker pull google/apigee-cert-manager-cainjector:v0.12.0"

Stack-Treiber-Images:

docker pull google/apigee-stackdriver-logging-agent:1.6.8"
docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.1"

Prometheus-Images:

docker pull google/apigee-prom-prometheus:v2.9.2

Kube-rbac-proxy-Images:

google/apigee-kube-rbac-proxy:v0.4.1

Apigee-Images:

docker pull google/apigee-authn-authz:1.2.0
docker pull google/apigee-mart-server:1.2.0
docker pull google/apigee-synchronizer:1.2.0
docker pull google/apigee-runtime:1.2.0
docker pull google/apigee-hybrid-cassandra-client:1.2.0
docker pull google/apigee-hybrid-cassandra:1.2.0
docker pull google/apigee-cassandra-backup-utility:1.2.0
docker pull google/apigee-udca:1.2.0
docker pull google/apigee-connect-agent:1.2.0
docker pull google/apigee-operators:1.2.0

Signer und Signaturen des Container-Images prüfen

Führen Sie den folgenden Befehl aus, um zu prüfen, ob ein Image signiert wurde:

docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG

Die Ausgabe dieses Befehls gibt an, ob das getaggte Image signiert ist, den Namen der Unterzeichner und eine Liste von Unterzeichnern und Schlüsseln. Beispiel:

docker trust inspect --pretty google/apigee-mart-server:1.2.0

Signatures for google/apigee-mart-server:1.2.0
SIGNED TAG          DIGEST                                       SIGNERSbeta2
a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322   asf-admin
List of signers and their keys for google/apigee-mart-server:1.2.0
SIGNER              KEYSasf-admin           7d4abdbb7bfd
Administrative keys for google/apigee-mart-server:1.2.0
Repository Key:       80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a
Root Key:     6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca