Fazer o download de imagens assinadas do Docker Hub

Para garantir a integridade de todas as imagens de contêiner do ambiente de execução publicadas e transferidas por download para sistemas de produção, o suporte para assinatura de imagens agora está disponível para todas as imagens híbridas da Apigee usando o Docker Hub. Todas as imagens do ambiente de execução híbrido estão disponíveis publicamente para download na conta do Google Docker Hub.

As imagens híbridas são assinadas com o Docker Content Trust, um recurso que permite que os usuários verifiquem a integridade e o editor de cada imagem criada e em execução em um registro do Docker. Essas assinaturas permitem a verificação do cliente ou do ambiente de execução de tags de imagem específicas em relação às chaves do editor, garantindo que a imagem seja exatamente o que o editor criou e enviou para publicação.

Fazer o download de imagens de contêineres assinados

Se você estiver usando um cluster do Kubernetes sem acesso à Internet para implantar seus serviços do ambiente de execução híbrido, precisará fazer o download das imagens do contêiner para um registro de contêiner local e acessá-lo a partir do cluster do Kubernetes.

Para fazer o download de uma imagem de contêiner assinada, você precisa ter o Docker instalado e usar o comando docker pull da seguinte maneira. Anexe a tag correta a cada nome de imagem. Por exemplo, a tag para apigee-synchronizer é 1.3.6, conforme mostrado abaixo.

Namespace: apigee-system 

docker pull google/apigee-kube-rbac-proxy:v0.4.1
docker pull google/apigee-operators:1.3.6
docker pull google/apigee-installer:1.3.6

Namespace: apigee 

docker pull google/apigee-authn-authz:1.3.6
docker pull google/apigee-cassandra-backup-utility:1.3.6
docker pull google/apigee-connect-agent:1.3.6
docker pull google/apigee-hybrid-cassandra-client:1.3.6
docker pull google/apigee-hybrid-cassandra:1.3.6
docker pull google/apigee-mart-server:1.3.6
docker pull google/apigee-prom-prometheus:v2.9.2
docker pull google/apigee-runtime:1.3.6
docker pull google/apigee-stackdriver-logging-agent:1.6.8
docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.5
docker pull google/apigee-synchronizer:1.3.6
docker pull google/apigee-udca:1.3.6
docker pull google/apigee-watcher:1.3.6

Verificar o signatário e as assinaturas da imagem do contêiner

Para verificar se uma imagem foi assinada, execute o seguinte comando: 

docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG

A saída desse comando mostrará se a imagem marcada está assinada, o nome dos signatários e uma lista de signatários e chaves. Exemplo: 

docker trust inspect --pretty google/apigee-mart-server:1.3.6

Signatures for google/apigee-mart-server:1.3.6
SIGNED TAG          DIGEST                                       SIGNERSbeta2
a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322   asf-admin
List of signers and their keys for google/apigee-mart-server:1.3.6
SIGNER              KEYSasf-admin           7d4abdbb7bfd
Administrative keys for google/apigee-mart-server:1.3.6
Repository Key:       80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a
Root Key:     6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca