Descargar imágenes firmadas de Docker Hub

Para asegurar la integridad de todas las imágenes de contenedor de tiempo de ejecución publicadas y descargadas para sistemas de producción, ahora se admite la firma de imágenes en todas las imágenes híbridas de Apigee mediante Docker Hub. Todas las imágenes de tiempo de ejecución híbrido se pueden descargar públicamente desde la cuenta Google Docker Hub.

Las imágenes híbridas se firman con Docker Content Trust, una función que permite a los usuarios verificar la integridad y el editor de cada imagen compilada y en ejecución en un registro de Docker. Estas firmas permiten verificar en el lado del cliente o en el tiempo de ejecución etiquetas de imagen específicas con claves de editor, lo que asegura que la imagen es exactamente lo que el editor ha creado y ha enviado para su publicación.

Descargar imágenes de contenedor firmadas

Si utilizas un clúster de Kubernetes sin acceso a Internet para desplegar tus servicios de tiempo de ejecución híbrido, tendrás que descargar las imágenes de contenedor en un registro de contenedores local y, a continuación, acceder al registro desde tu clúster de Kubernetes.

Para descargar una imagen de contenedor firmada, debes tener Docker instalado y usar el comando docker pull de la siguiente manera. Asegúrate de añadir la etiqueta correcta a cada nombre de imagen. Por ejemplo, la etiqueta de apigee-synchronizer es 1.1.1, como se muestra a continuación. 

docker pull google/apigee-mart-server:1.1.1
docker pull google/apigee-synchronizer:1.1.1
docker pull google/apigee-runtime:1.1.1
docker pull google/apigee-authn-authz:1.1.1
docker pull google/apigee-cassandra-client:1.1.1
docker pull google/apigee-cassandra-backup-utility:1.1.1
docker pull google/apigee-cassandra:1.1.1
docker pull google/apigee-udca:1.1.1
docker pull google/apigee-stackdriver-logging-agent:1.6.8
docker pull google/apigee-prom-prometheus:v2.9.2
docker pull google/apigee-stackdriver-prometheus-sidecar:release-0.4.0
docker pull google/busybox:1.30.1

Verificar el firmante y las firmas de la imagen de contenedor

Para verificar que una imagen se ha firmado, ejecuta el siguiente comando: 

docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG

El resultado de este comando te indicará si la imagen etiquetada está firmada, el nombre de los firmantes y una lista de firmantes y claves. Por ejemplo: 

docker trust inspect --pretty google/apigee-mart-server:1.1.1

Signatures for google/apigee-mart-server:1.1.1
SIGNED TAG          DIGEST                                       SIGNERSbeta2
a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322   asf-admin
List of signers and their keys for google/apigee-mart-server:1.1.1
SIGNER              KEYSasf-admin           7d4abdbb7bfd
Administrative keys for google/apigee-mart-server:1.1.1
Repository Key:       80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a
Root Key:     6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca