為確保發布及下載至生產系統的所有執行階段容器映像檔完整無缺,我們現在支援使用 Docker Hub 為所有 Apigee Hybrid 映像檔簽署映像檔。所有混合式執行階段映像檔都可從 Google Docker Hub 帳戶公開下載。
混合式映像檔會使用 Docker 內容信任簽署,這項功能可讓使用者驗證 Docker 註冊資料庫中建構及執行的每個映像檔完整性和發布者。這些簽章可讓用戶端或執行階段根據發布商金鑰驗證特定圖片代碼,確保圖片是發布商建立並推送發布的內容。
下載已簽署的容器映像檔
如果您使用無法存取網際網路的 Kubernetes 叢集部署混合式執行階段服務,請將容器映像檔下載至本機容器登錄檔,然後從 Kubernetes 叢集存取該登錄檔。
如要下載已簽署的容器映像檔,您應安裝 Docker,並使用 docker pull 指令,如下所示。請務必在每個圖片名稱後方加上正確的標記。舉例來說,apigee-synchronizer 的標記是 1.2.0,如下所示。
Istio 映像檔:
docker pull google/apigee-istio-pilot:1.4.6 docker pull google/apigee-istio-kubectl:1.4.6" docker pull google/apigee-istio-galley:1.4.6" docker pull google/apigee-istio-node-agent-k8s:1.4.6" docker pull google/apigee-istio-proxyv2:1.4.6" docker pull google/apigee-istio-mixer:1.4.6" docker pull google/apigee-istio-citadel:1.4.6" docker pull google/apigee-istio-sidecar-injector:1.4.6"
Cert Manager 圖片:
docker pull google/apigee-cert-manager-controller:v0.12.0" docker pull google/apigee-cert-manager-webhook:v0.12.0" docker pull google/apigee-cert-manager-cainjector:v0.12.0"
stack-driver images:
docker pull google/apigee-stackdriver-logging-agent:1.6.8" docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.1"
Prometheus 圖片:
docker pull google/apigee-prom-prometheus:v2.9.2
kube-rbac-proxy 映像檔:
google/apigee-kube-rbac-proxy:v0.4.1
Apigee 圖片:
docker pull google/apigee-authn-authz:1.2.0 docker pull google/apigee-mart-server:1.2.0 docker pull google/apigee-synchronizer:1.2.0 docker pull google/apigee-runtime:1.2.0 docker pull google/apigee-hybrid-cassandra-client:1.2.0 docker pull google/apigee-hybrid-cassandra:1.2.0 docker pull google/apigee-cassandra-backup-utility:1.2.0 docker pull google/apigee-udca:1.2.0 docker pull google/apigee-connect-agent:1.2.0 docker pull google/apigee-operators:1.2.0
驗證容器映像檔簽署者和簽章
如要驗證映像檔是否已簽署,請執行下列指令:
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
這項指令的輸出內容會顯示標記的映像檔是否已簽署、簽署者名稱,以及簽署者和金鑰清單。例如:
docker trust inspect --pretty google/apigee-mart-server:1.2.0Signatures for google/apigee-mart-server:1.2.0 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.2.0 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.2.0 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca