프로덕션 시스템에 게시되고 다운로드되는 모든 런타임 컨테이너 이미지의 무결성을 보장하기 위해 이제 Docker Hub를 사용하는 모든 Apigee Hybrid 이미지에 이미지 서명이 지원됩니다. 모든 하이브리드 런타임 이미지는 Google Docker Hub 계정에서 공개적으로 다운로드할 수 있습니다.
하이브리드 이미지는 사용자가 Docker 레지스트리에서 빌드 및 실행되는 모든 이미지의 무결성과 게시자를 확인할 수 있는 기능인 Docker Content Trust로 서명됩니다. 이러한 서명을 사용하면 게시자 키에 대한 특정 이미지 태그의 클라이언트 측 또는 런타임 유효성 검사를 할 수 있으며 이를 통해 이미지가 게시자의 공시 목적대로 만들어지고 푸시되었는지 확인할 수 있습니다.
서명된 컨테이너 이미지 다운로드
하이브리드 런타임 서비스를 배포하기 위해 인터넷 액세스 없이 Kubernetes 클러스터를 사용하는 경우 컨테이너 이미지를 로컬 컨테이너 레지스트리에 다운로드한 다음 Kubernetes 클러스터에서 레지스트리에 액세스해야 합니다.
서명된 컨테이너 이미지를 다운로드하려면 Docker를 설치하고 다음과 같이 docker pull 명령어를 사용해야 합니다. 각 이미지 이름에 올바른 태그를 추가해야 합니다. 예를 들어 apigee-synchronizer의 태그는 아래와 같이 1.2.0입니다.
Istio 이미지:
docker pull google/apigee-istio-pilot:1.4.6 docker pull google/apigee-istio-kubectl:1.4.6" docker pull google/apigee-istio-galley:1.4.6" docker pull google/apigee-istio-node-agent-k8s:1.4.6" docker pull google/apigee-istio-proxyv2:1.4.6" docker pull google/apigee-istio-mixer:1.4.6" docker pull google/apigee-istio-citadel:1.4.6" docker pull google/apigee-istio-sidecar-injector:1.4.6"
인증서 관리자 이미지:
docker pull google/apigee-cert-manager-controller:v0.12.0" docker pull google/apigee-cert-manager-webhook:v0.12.0" docker pull google/apigee-cert-manager-cainjector:v0.12.0"
stack-driver 이미지:
docker pull google/apigee-stackdriver-logging-agent:1.6.8" docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.1"
Prometheus 이미지:
docker pull google/apigee-prom-prometheus:v2.9.2
Kube-rbac-proxy 이미지:
google/apigee-kube-rbac-proxy:v0.4.1
Apigee 이미지:
docker pull google/apigee-authn-authz:1.2.0 docker pull google/apigee-mart-server:1.2.0 docker pull google/apigee-synchronizer:1.2.0 docker pull google/apigee-runtime:1.2.0 docker pull google/apigee-hybrid-cassandra-client:1.2.0 docker pull google/apigee-hybrid-cassandra:1.2.0 docker pull google/apigee-cassandra-backup-utility:1.2.0 docker pull google/apigee-udca:1.2.0 docker pull google/apigee-connect-agent:1.2.0 docker pull google/apigee-operators:1.2.0
컨테이너 이미지 서명자 및 서명 확인
이미지가 서명되었는지 확인하려면 다음 명령어를 실행합니다.
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
이 명령어의 출력을 통해 태그된 이미지가 서명되었는지 여부, 서명자 이름, 서명자 및 키 목록을 알 수 있습니다. 예를 들면 다음과 같습니다.
docker trust inspect --pretty google/apigee-mart-server:1.2.0Signatures for google/apigee-mart-server:1.2.0 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.2.0 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.2.0 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca