A fin de garantizar la integridad de todas las imágenes de contenedor de entorno de ejecución publicadas y descargadas para los sistemas de producción, la asistencia de firma de imágenes ahora está disponible para todas las imágenes de Apigee Hybrid que usan Docker Hub. Todas las imágenes de entorno de ejecución híbrida están disponibles de forma pública para descargar desde la cuenta de Google Docker Hub.
Las imágenes híbridas se firman con la Confianza de contenido de Docker, una función que permite a los usuarios verificar la integridad y el publicador de cada imagen compilada y en ejecución en un registro de Docker. Estas firmas permiten la verificación del cliente o del entorno de ejecución de etiquetas de imagen específicas en función de las claves de publicador, lo que garantiza que la imagen sea exactamente lo que el publicador creó y envió para su publicación.
Descarga imágenes de contenedor firmadas
Si usas un clúster de Kubernetes sin acceso a Internet para implementar tus servicios de entorno de ejecución híbrido, deberás descargar las imágenes de contenedor en un registro de contenedor local y, luego, acceder al registro desde tu clúster de Kubernetes.
Para descargar una imagen de contenedor firmada, debes tener Docker instalado y usar el comando docker pull de la siguiente manera. Asegúrate de agregar la etiqueta correcta a cada nombre de imagen. Por ejemplo, la etiqueta para apigee-synchronizer es 1.2.0, como se muestra a continuación.
Imágenes de Istio:
docker pull google/apigee-istio-pilot:1.4.6 docker pull google/apigee-istio-kubectl:1.4.6" docker pull google/apigee-istio-galley:1.4.6" docker pull google/apigee-istio-node-agent-k8s:1.4.6" docker pull google/apigee-istio-proxyv2:1.4.6" docker pull google/apigee-istio-mixer:1.4.6" docker pull google/apigee-istio-citadel:1.4.6" docker pull google/apigee-istio-sidecar-injector:1.4.6"
Imágenes de Cert Manager:
docker pull google/apigee-cert-manager-controller:v0.12.0" docker pull google/apigee-cert-manager-webhook:v0.12.0" docker pull google/apigee-cert-manager-cainjector:v0.12.0"
imágenes de Stackdriver:
docker pull google/apigee-stackdriver-logging-agent:1.6.8" docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.1"
Imágenes de Prometheus:
docker pull google/apigee-prom-prometheus:v2.9.2
Imágenes de Kube-rbac-proxy:
google/apigee-kube-rbac-proxy:v0.4.1
Imágenes de Apigee:
docker pull google/apigee-authn-authz:1.2.0 docker pull google/apigee-mart-server:1.2.0 docker pull google/apigee-synchronizer:1.2.0 docker pull google/apigee-runtime:1.2.0 docker pull google/apigee-hybrid-cassandra-client:1.2.0 docker pull google/apigee-hybrid-cassandra:1.2.0 docker pull google/apigee-cassandra-backup-utility:1.2.0 docker pull google/apigee-udca:1.2.0 docker pull google/apigee-connect-agent:1.2.0 docker pull google/apigee-operators:1.2.0
Verifica la persona que firma y las firmas de la imagen de contenedor
Para verificar que se haya firmado una imagen, ejecuta el siguiente comando:
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
El resultado de este comando te permitirá saber si se firmó la imagen etiquetada, el nombre de las personas que firman y una lista de las personas que firman y las claves. Por ejemplo:
docker trust inspect --pretty google/apigee-mart-server:1.2.0Signatures for google/apigee-mart-server:1.2.0 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.2.0 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.2.0 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca