署名付きのイメージを Docker Hub からダウンロードする

本番環境システム用に公開またはダウンロードされるすべてのランタイム コンテナ イメージの整合性を維持するため、Docker Hub を使用するすべての Apigee ハイブリッド イメージでイメージの署名がサポートされるようになりました。すべてのハイブリッド ランタイム イメージが一般公開され、Google Docker Hub アカウントからダウンロードできます。

ハイブリッド イメージには Docker Content Trust で署名されます。この機能を使用すると、Docker レジストリで作成および実行されるすべてのイメージの整合性とパブリッシャーを確認できます。これらの署名を使用すると、特定のイメージタグとパブリッシャー キーの検証をクライアント側またはランタイム側で実行できます。これにより、パブリッシャーが作成して公開用に push したイメージであることを確認できます。

署名付きコンテナ イメージをダウンロードする

インターネットにアクセスしない Kubernetes クラスタを使用してハイブリッド ランタイム サービスをデプロイする場合は、コンテナ イメージをローカルのコンテナ レジストリにダウンロードし、Kubernetes クラスタからレジストリにアクセスする必要があります。

署名付きのコンテナ イメージをダウンロードするには、Docker をインストールし、次のように docker pull コマンドを使用する必要があります。それぞれのイメージ名に正しいタグを設定します。たとえば、apigee-synchronizer のタグは 1.0.0 です。

docker pull google/apigee-mart-server:1.0.0
    docker pull google/apigee-synchronizer:1.0.0
    docker pull google/apigee-runtime:1.0.0
    docker pull google/apigee-authn-authz:1.0.0
    docker pull google/apigee-cassandra-client:1.0.0
    docker pull google/apigee-cassandra-backup-utility:1.0.0
    docker pull google/apigee-cassandra:1.0.0
    docker pull google/apigee-udca:1.0.0
    docker pull google/apigee-stackdriver-logging-agent:1.6.8
    docker pull google/apigee-prom-prometheus:v2.9.2
    docker pull google/apigee-stackdriver-prometheus-sidecar:release-0.4.0
    docker pull google/busybox:1.30.1
    

コンテナ イメージの署名者と署名を確認する

イメージが署名済みであることを確認するには、次のコマンドを実行します。

docker trust inspect --pretty $IMAGE_NAME:$IMAGE_TAG
    

このコマンドの出力を見ると、タグ付きのイメージが署名済みかどうか、署名者の名前、署名者とキーのリストを確認できます。例:

    docker trust inspect --pretty google/apigee-mart-server:1.0.0

    Signatures for google/apigee-mart-server:1.0.0
    SIGNED TAG          DIGEST                                       SIGNERSbeta2
    a607b0e7acba41544e5db8e74b039e9314fdcfdc6f1acf73094d3179fc2af322   asf-admin
    List of signers and their keys for google/apigee-mart-server:1.0.0
    SIGNER              KEYSasf-admin           7d4abdbb7bfd
    Administrative keys for google/apigee-mart-server:1.0.0
    Repository Key:       80f86b047965f6dec0c056b1938a7f8cfb894ba8014fba36a18d0923173d394a
    Root Key:     6f2d60f90a0d78dd6254d3d47613a4dd6eb0880f83411e6f8b122b84dbef69ca