Untuk memastikan integritas semua image container runtime yang dipublikasikan dan didownload untuk sistem produksi, dukungan penandatanganan image kini tersedia untuk semua image hybrid Apigee menggunakan Docker Hub. Semua image runtime hybrid tersedia secara publik untuk didownload dari akun Google Docker Hub.
Image hybrid ditandatangani dengan Docker Content Trust, sebuah fitur yang memungkinkan pengguna memverifikasi integritas dan penerbit setiap image yang dibuat dan berjalan di registry Docker. Tanda tangan ini memungkinkan verifikasi sisi klien atau runtime tag gambar tertentu terhadap kunci penayang, sehingga memastikan bahwa gambar tersebut persis seperti yang dibuat dan didorong oleh penayang untuk dipublikasikan.
Mendownload image container yang ditandatangani
Jika Anda menggunakan cluster Kubernetes tanpa akses internet untuk men-deploy layanan runtime hybrid, Anda harus mendownload image container ke registry container lokal, lalu mengakses registry tersebut dari cluster Kubernetes Anda.
Untuk men-download image container bertanda tangan, Anda harus menginstal Docker dan menggunakan perintah docker pull sebagai berikut. Pastikan untuk menambahkan tag yang benar ke setiap nama gambar. Misalnya, tag untuk apigee-synchronizer adalah 1.3.6,
seperti yang ditunjukkan di bawah.
Namespace: apigee-system
docker pull google/apigee-kube-rbac-proxy:v0.4.1docker pull google/apigee-operators:1.3.6docker pull google/apigee-installer:1.3.6
Namespace: apigee
docker pull google/apigee-authn-authz:1.3.6docker pull google/apigee-cassandra-backup-utility:1.3.6docker pull google/apigee-connect-agent:1.3.6docker pull google/apigee-hybrid-cassandra-client:1.3.6docker pull google/apigee-hybrid-cassandra:1.3.6docker pull google/apigee-mart-server:1.3.6docker pull google/apigee-prom-prometheus:v2.9.2docker pull google/apigee-runtime:1.3.6docker pull google/apigee-stackdriver-logging-agent:1.6.8docker pull google/apigee-stackdriver-prometheus-sidecar:0.7.5docker pull google/apigee-synchronizer:1.3.6docker pull google/apigee-udca:1.3.6docker pull google/apigee-watcher:1.3.6
Memverifikasi penanda tangan dan tanda tangan image container
Untuk memverifikasi bahwa image telah ditandatangani, jalankan perintah berikut:
docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
Output perintah ini akan memberi tahu Anda apakah gambar yang diberi tag ditandatangani, nama penandatangan, dan daftar penandatangan serta kunci. Contoh:
docker trust inspect --pretty google/apigee-mart-server:1.3.6Signatures for google/apigee-mart-server:1.3.6 SIGNED TAG DIGEST SIGNERSbeta2 a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322 asf-admin List of signers and their keys for google/apigee-mart-server:1.3.6 SIGNER KEYSasf-admin 7d4abdbb7bfd Administrative keys for google/apigee-mart-server:1.3.6 Repository Key: 80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a Root Key: 6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca