Para garantir a integridade de todas as imagens de contentores de tempo de execução publicadas e transferidas para sistemas de produção, o suporte de assinatura de imagens já está disponível para todas as imagens híbridas do Apigee através do Docker Hub. Todas as imagens de tempo de execução híbrido estão disponíveis publicamente para transferência a partir da conta do Google Docker Hub.
As imagens híbridas são assinadas com o Docker Content Trust, uma funcionalidade que permite aos utilizadores validar a integridade e o publicador de cada imagem criada e executada num registo do Docker. Estas assinaturas permitem a validação do lado do cliente ou em tempo de execução de etiquetas de imagens específicas em relação às chaves do publicador, garantindo que a imagem é exatamente o que o publicador criou e enviou para publicação.
Transfira imagens de contentores assinadas
Se estiver a usar um cluster do Kubernetes sem acesso à Internet para implementar os seus serviços de tempo de execução híbrido, tem de transferir as imagens de contentores para um registo de contentores local e, em seguida, aceder ao registo a partir do seu cluster do Kubernetes.
Para transferir uma imagem de contentor assinada, deve ter o Docker instalado e usar o comando docker pull da seguinte forma. Certifique-se de que anexa a etiqueta correta
a cada nome de imagem. Por exemplo, a etiqueta para apigee-synchronizer é 1.1.1, conforme mostrado abaixo.
docker pull google/apigee-mart-server:1.1.1docker pull google/apigee-synchronizer:1.1.1docker pull google/apigee-runtime:1.1.1docker pull google/apigee-authn-authz:1.1.1docker pull google/apigee-cassandra-client:1.1.1docker pull google/apigee-cassandra-backup-utility:1.1.1docker pull google/apigee-cassandra:1.1.1docker pull google/apigee-udca:1.1.1docker pull google/apigee-stackdriver-logging-agent:1.6.8docker pull google/apigee-prom-prometheus:v2.9.2docker pull google/apigee-stackdriver-prometheus-sidecar:release-0.4.0docker pull google/busybox:1.30.1
Valide o signatário e as assinaturas de imagens de contentores
Para verificar se uma imagem foi assinada, execute o seguinte comando:
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
O resultado deste comando indica se a imagem etiquetada está assinada, o nome dos signatários e uma lista de signatários e chaves. Por exemplo:
docker trust inspect --pretty google/apigee-mart-server:1.1.1Signatures for google/apigee-mart-server:1.1.1 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.1.1 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.1.1 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca