Scaricare le immagini firmate da Docker Hub

Per garantire l'integrità di tutte le immagini container di runtime pubblicate e scaricate per i sistemi di produzione, il supporto della firma delle immagini è ora disponibile per tutte le immagini ibride Apigee che utilizzano Docker Hub. Tutte le immagini di runtime ibrido sono disponibili pubblicamente per il download dall'account Google Docker Hub.

Le immagini ibride sono firmate con Docker Content Trust, una funzionalità che consente agli utenti di verificare l'integrità e l'editore di ogni immagine compilata ed eseguita in un registry Docker. Queste firme consentono la verifica lato client o di runtime di tag immagine specifici rispetto alle chiavi del publisher, garantendo che l'immagine sia esattamente quella creata e inviata dal publisher per la pubblicazione.

Scaricare le immagini container firmate

Se utilizzi un cluster Kubernetes senza accesso a internet per eseguire il deployment dei servizi di runtime ibrido, dovrai scaricare le immagini dei container in un registry dei container locale e poi accedere al registry dal tuo cluster Kubernetes.

Per scaricare un'immagine container firmata, devi avere installato Docker e utilizzare il comando docker pull come segue. Assicurati di aggiungere il tag corretto a ogni nome dell'immagine. Ad esempio, il tag per apigee-synchronizer è 1.2.0, come mostrato di seguito.

Immagini Istio:

docker pull google/apigee-istio-pilot:1.4.6
docker pull google/apigee-istio-kubectl:1.4.6"
docker pull google/apigee-istio-galley:1.4.6"
docker pull google/apigee-istio-node-agent-k8s:1.4.6"
docker pull google/apigee-istio-proxyv2:1.4.6"
docker pull google/apigee-istio-mixer:1.4.6"
docker pull google/apigee-istio-citadel:1.4.6"
docker pull google/apigee-istio-sidecar-injector:1.4.6"

Immagini di Cert Manager:

docker pull google/apigee-cert-manager-controller:v0.12.0"
docker pull google/apigee-cert-manager-webhook:v0.12.0"
docker pull google/apigee-cert-manager-cainjector:v0.12.0"

stack-driver images:

docker pull google/apigee-stackdriver-logging-agent:1.6.8"
docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.1"

Immagini di Prometheus:

docker pull google/apigee-prom-prometheus:v2.9.2

Immagini Kube-rbac-proxy:

google/apigee-kube-rbac-proxy:v0.4.1

Immagini Apigee:

docker pull google/apigee-authn-authz:1.2.0
docker pull google/apigee-mart-server:1.2.0
docker pull google/apigee-synchronizer:1.2.0
docker pull google/apigee-runtime:1.2.0
docker pull google/apigee-hybrid-cassandra-client:1.2.0
docker pull google/apigee-hybrid-cassandra:1.2.0
docker pull google/apigee-cassandra-backup-utility:1.2.0
docker pull google/apigee-udca:1.2.0
docker pull google/apigee-connect-agent:1.2.0
docker pull google/apigee-operators:1.2.0

Verificare il firmatario e le firme delle immagini container

Per verificare che un'immagine sia stata firmata, esegui il seguente comando:

docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG

L'output di questo comando ti consente di sapere se l'immagine con tag è firmata, il nome dei firmatari e un elenco di firmatari e chiavi. Ad esempio:

docker trust inspect --pretty google/apigee-mart-server:1.2.0

Signatures for google/apigee-mart-server:1.2.0
SIGNED TAG          DIGEST                                       SIGNERSbeta2
a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322   asf-admin
List of signers and their keys for google/apigee-mart-server:1.2.0
SIGNER              KEYSasf-admin           7d4abdbb7bfd
Administrative keys for google/apigee-mart-server:1.2.0
Repository Key:       80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a
Root Key:     6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca