Para garantir a integridade de todas as imagens de contêiner do ambiente de execução publicadas e transferidas por download para sistemas de produção, o suporte para assinatura de imagens agora está disponível para todas as imagens híbridas da Apigee usando o Docker Hub. Todas as imagens do ambiente de execução híbrido estão disponíveis publicamente para download na conta do Google Docker Hub.
As imagens híbridas são assinadas com o Docker Content Trust, um recurso que permite que os usuários verifiquem a integridade e o editor de cada imagem criada e em execução em um registro do Docker. Essas assinaturas permitem a verificação do cliente ou do ambiente de execução de tags de imagem específicas em relação às chaves do editor, garantindo que a imagem seja exatamente o que o editor criou e enviou para publicação.
Fazer o download de imagens de contêineres assinados
Se você estiver usando um cluster do Kubernetes sem acesso à Internet para implantar seus serviços do ambiente de execução híbrido, precisará fazer o download das imagens do contêiner para um registro de contêiner local e acessá-lo a partir do cluster do Kubernetes.
Para fazer o download de uma imagem de contêiner assinada, você precisa ter o Docker
instalado e usar o comando docker pull
da seguinte maneira. Anexe a tag correta
a cada nome de imagem. Por exemplo, a tag para apigee-synchronizer
é 1.3.6
,
conforme mostrado abaixo.
Namespace: apigee-system
docker pull google/apigee-kube-rbac-proxy:v0.4.1
docker pull google/apigee-operators:1.3.6
docker pull google/apigee-installer:1.3.6
Namespace: apigee
docker pull google/apigee-authn-authz:1.3.6
docker pull google/apigee-cassandra-backup-utility:1.3.6
docker pull google/apigee-connect-agent:1.3.6
docker pull google/apigee-hybrid-cassandra-client:1.3.6
docker pull google/apigee-hybrid-cassandra:1.3.6
docker pull google/apigee-mart-server:1.3.6
docker pull google/apigee-prom-prometheus:v2.9.2
docker pull google/apigee-runtime:1.3.6
docker pull google/apigee-stackdriver-logging-agent:1.6.8
docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.5
docker pull google/apigee-synchronizer:1.3.6
docker pull google/apigee-udca:1.3.6
docker pull google/apigee-watcher:1.3.6
Verificar o signatário e as assinaturas da imagem do contêiner
Para verificar se uma imagem foi assinada, execute o seguinte comando:
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
A saída desse comando mostrará se a imagem marcada está assinada, o nome dos signatários e uma lista de signatários e chaves. Exemplo:
docker trust inspect --pretty google/apigee-mart-server:1.3.6
Signatures for google/apigee-mart-server:1.3.6 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.3.6 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.3.6 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca