Untuk memastikan integritas semua image container runtime yang dipublikasikan dan didownload untuk sistem produksi, Dukungan penandatanganan image kini tersedia untuk semua image hybrid Apigee yang menggunakan Docker Hub. Semua runtime hybrid gambar tersedia secara publik untuk diunduh dari Google Docker Hub.
Gambar hibrida ditandatangani dengan Docker Content Trust, fitur yang memungkinkan pengguna memverifikasi integritas dan penayang setiap image yang dibangun dan berjalan di registry Docker. Tanda tangan ini memungkinkan verifikasi sisi klien atau runtime tag gambar spesifik terhadap kunci penayang, yang memastikan bahwa gambar tersebut persis seperti yang dibuat dan didorong oleh penerbit untuk dipublikasikan.
Download image container yang ditandatangani
Jika Anda menggunakan cluster Kubernetes tanpa akses internet untuk men-deploy layanan runtime hybrid, Anda harus mendownload image container ke container registry lokal, lalu mengakses registry dari cluster Kubernetes Anda.
Untuk mendownload image container yang ditandatangani, Anda harus memiliki Docker
diinstal dan gunakan perintah docker pull seperti berikut. Pastikan untuk menambahkan tag yang benar
untuk setiap nama image. Misalnya, tag untuk apigee-synchronizer adalah 1.2.0,
sebagaimana ditunjukkan di bawah ini.
Gambar Istio:
docker pull google/apigee-istio-pilot:1.4.6 docker pull google/apigee-istio-kubectl:1.4.6" docker pull google/apigee-istio-galley:1.4.6" docker pull google/apigee-istio-node-agent-k8s:1.4.6" docker pull google/apigee-istio-proxyv2:1.4.6" docker pull google/apigee-istio-mixer:1.4.6" docker pull google/apigee-istio-citadel:1.4.6" docker pull google/apigee-istio-sidecar-injector:1.4.6"
Image Pengelola Sertifikasi:
docker pull google/apigee-cert-manager-controller:v0.12.0" docker pull google/apigee-cert-manager-webhook:v0.12.0" docker pull google/apigee-cert-manager-cainjector:v0.12.0"
image stack-driver:
docker pull google/apigee-stackdriver-logging-agent:1.6.8" docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.1"
Gambar Prometheus:
docker pull google/apigee-prom-prometheus:v2.9.2
Gambar Kube-rbac-proxy:
google/apigee-kube-rbac-proxy:v0.4.1
Gambar Apigee:
docker pull google/apigee-authn-authz:1.2.0 docker pull google/apigee-mart-server:1.2.0 docker pull google/apigee-synchronizer:1.2.0 docker pull google/apigee-runtime:1.2.0 docker pull google/apigee-hybrid-cassandra-client:1.2.0 docker pull google/apigee-hybrid-cassandra:1.2.0 docker pull google/apigee-cassandra-backup-utility:1.2.0 docker pull google/apigee-udca:1.2.0 docker pull google/apigee-connect-agent:1.2.0 docker pull google/apigee-operators:1.2.0
Memverifikasi penanda tangan dan tanda tangan image container
Untuk memastikan bahwa image telah ditandatangani, jalankan perintah berikut:
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
{i>Output<i} dari perintah ini akan memberi tahu Anda apakah gambar yang diberi {i>tag<i} ditandatangani, nama penanda tangan, serta daftar penanda dan kunci. Contoh:
docker trust inspect --pretty google/apigee-mart-server:1.2.0Signatures for google/apigee-mart-server:1.2.0 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.2.0 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.2.0 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca