為確保為實際運作系統發布及下載的所有執行階段容器映像檔完整性,現在所有使用 Docker Hub 的 Apigee 混合映像檔都支援映像檔簽署。所有混合式執行階段映像檔皆可公開下載,請前往 Google Docker Hub 帳戶。
混合式映像檔會使用 Docker Content Trust 進行簽署,這項功能可讓使用者驗證在 Docker 註冊資料庫中建構及執行的每個映像檔的完整性和發布者。這些簽章可讓用戶端或執行階段驗證特定圖片標記與發布者金鑰的一致性,確保圖片與發布者建立並推送供發布的圖片完全一致。
下載已簽署的容器映像檔
如果您使用的是無法存取網際網路的 Kubernetes 叢集,且要部署混合式執行階段服務,就必須將容器映像檔下載至本機容器登錄,然後透過 Kubernetes 叢集存取登錄。
如要下載已簽署的容器映像檔,您必須安裝 Docker,並使用以下 docker pull 指令。請務必在每個圖片名稱後面加上正確的標記。例如,apigee-synchronizer 的標記為 1.3.6,如下所示。
命名空間:apigee-system
docker pull google/apigee-kube-rbac-proxy:v0.4.1docker pull google/apigee-operators:1.3.6docker pull google/apigee-installer:1.3.6
命名空間:apigee
docker pull google/apigee-authn-authz:1.3.6docker pull google/apigee-cassandra-backup-utility:1.3.6docker pull google/apigee-connect-agent:1.3.6docker pull google/apigee-hybrid-cassandra-client:1.3.6docker pull google/apigee-hybrid-cassandra:1.3.6docker pull google/apigee-mart-server:1.3.6docker pull google/apigee-prom-prometheus:v2.9.2docker pull google/apigee-runtime:1.3.6docker pull google/apigee-stackdriver-logging-agent:1.6.8docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.5docker pull google/apigee-synchronizer:1.3.6docker pull google/apigee-udca:1.3.6docker pull google/apigee-watcher:1.3.6
驗證容器映像檔簽署者和簽章
如要確認映像檔是否已簽署,請執行下列指令:
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
這個指令的輸出內容會告訴您標記的圖片是否已簽署、簽署者的名稱,以及簽署者和金鑰的清單。例如:
docker trust inspect --pretty google/apigee-mart-server:1.3.6Signatures for google/apigee-mart-server:1.3.6 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.3.6 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.3.6 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca