Pour garantir l'intégrité de toutes les images de conteneur d'exécution publiées et téléchargées pour les systèmes de production, la signature d'image est désormais disponible pour toutes les images Apigee hybrid utilisant Docker Hub. Toutes les images publiques d'exécution hybrides peuvent être téléchargées depuis le compte Google Docker Hub.
Les images hybrides sont signées à l'aide de Docker Content Trust, une fonctionnalité qui permet aux utilisateurs de vérifier l'intégrité et l'éditeur de chaque image créée et exécutée dans un registre Docker. Ces signatures permettent d'effectuer une vérification, côté client ou environnement d'exécution, des tags d'image spécifiques par rapport aux clés de l'éditeur, pour s'assurer que l'image est identique à celle créée et transmise pour publication par l'éditeur.
Télécharger des images de conteneurs signées
Si vous utilisez un cluster Kubernetes sans accès Internet pour déployer vos services d'exécution hybrides, vous devez télécharger les images de conteneur dans un registre de conteneurs local, puis accéder au registre à partir de votre cluster Kubernetes.
Pour télécharger une image de conteneur signée, vous devez avoir installé Docker et utiliser la commande docker pull comme suit. Veillez à ajouter le tag approprié à chaque nom d'image. Par exemple, le tag pour apigee-synchronizer est 1.3.6, comme indiqué ci-dessous.
Espace de noms : apigee-system
docker pull google/apigee-kube-rbac-proxy:v0.4.1docker pull google/apigee-operators:1.3.6docker pull google/apigee-installer:1.3.6
Espace de noms : apigee
docker pull google/apigee-authn-authz:1.3.6docker pull google/apigee-cassandra-backup-utility:1.3.6docker pull google/apigee-connect-agent:1.3.6docker pull google/apigee-hybrid-cassandra-client:1.3.6docker pull google/apigee-hybrid-cassandra:1.3.6docker pull google/apigee-mart-server:1.3.6docker pull google/apigee-prom-prometheus:v2.9.2docker pull google/apigee-runtime:1.3.6docker pull google/apigee-stackdriver-logging-agent:1.6.8docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.5docker pull google/apigee-synchronizer:1.3.6docker pull google/apigee-udca:1.3.6docker pull google/apigee-watcher:1.3.6
Vérifier le signataire et les signatures de l'image du conteneur
Pour vérifier qu'une image a été signée, exécutez la commande suivante :
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
Le résultat de cette commande vous indique si l'image avec tag est signée, et précise le nom des signataires, la liste des signataires et les clés. Exemple :
docker trust inspect --pretty google/apigee-mart-server:1.3.6Signatures for google/apigee-mart-server:1.3.6 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.3.6 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.3.6 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca