Хранение образов Ключ-АСТРОМ в частных реестрах
Для пользователей, желающих получить больший контроль над своей средой хостинга образов, Ключ-АСТРОМ предлагает возможность реплицировать образы и подписи в частные реестры.
Мы рекомендуем использовать закрытый реестр для оптимальной производительности и отсутствия рисков, связанных с ограничением скорости передачи данных, в высоконагруженных и динамичных средах. Кроме того, для соответствия стандартам безопасности и обеспечения целостности программного обеспечения при одновременном снижении рисков, связанных с цепочкой поставок, рекомендуется использовать сканирование образов и проверку подписей с помощью образов Ключ-АСТРОМ.
Реплицируя образы Ключ-АСТРОМ в свой личный реестр, вы можете легко объединить отличную производительность доставки с гарантией безопасности, подписи и неизменности образов. Мы предоставляем мультиархитектурные образы для обеспечения совместимости на различных платформах с поддержкой архитектур ARM64 (AArch64) и x86-64 в Linux.
На этой странице представлено руководство по безопасному хранению неизменяемых образов Ключ-АСТРОМ в закрытом реестре. Оно включает инструкции по извлечению образов, проверке подписей образов и их отправке в выбранный вами закрытый реестр.
Предустановка
Прежде чем начать, убедитесь, что выполнены следующие предварительные условия:
необходимоЧастный реестрнеобходимоДоступ для записи к репозиториям образов Ключ-АСТРОМнеобязательноSkopeo для легкого копирования образовнеобязательноCosign для проверки подписи образа
Образы контейнеров Ключ-АСТРОМ
Неизменяемые и подписанные образы контейнеров Ключ-АСТРОМ доступны в различных реестрах контейнеров. Подробнее о репозиториях и тегах можно узнать в поддерживаемых нами публичных реестрах.
Мы настоятельно рекомендуем выбрать один из поддерживаемых нами публичных реестров, из которого можно скопировать образы контейнеров.
| Пожалуйста, не используйте встроенный реестр Ключ-АСТРОМ для копирования образов в частные реестры.
Исключение составляет образ ЕдиногоАгента для Classic Full-Stack, для корректной работы которого соответствующий образ необходимо скопировать из встроенного реестра. |
Варианты наблюдаемости
В зависимости от выбранных параметров наблюдения, вам может потребоваться копировать только необходимые образы. В следующей таблице описана связь между образами Ключ-АСТРОМ и параметрами наблюдения.
| Наблюдаемость | Ключ-АСТРОМ
Operator |
Ключ-АСТРОМ
АктивныыйШлюз |
Ключ-АСТРОМ
Модуль кода |
Ключ-АСТРОМ
ЕдиныйАгент |
|---|---|---|---|---|
| Полная наблюдаемость
(Классический полный стек) |
Необходимо | Необходимо | - | Требуется 1 |
| Полная наблюдаемость
(Облачный полный стек) |
Необходимо | Необходимо | Необходимо | Необходимо |
| Наблюдаемость Kubernetes | Необходимо | Необходимо | - | - |
| Наблюдаемость приложения | Необходимо | Необходимо | Необходимо | - |
1 Необходимо реплицировать из встроенного реестра Ключ-АСТРОМ. Подробнее см. в разделе «Поддержка классического полностекового мониторинга» (ниже).
Теги образов
Чтобы показать, как управление версиями напрямую связано с тегированием изображений, в следующей таблице перечислены реальные примеры тегов изображений для образов контейнеров astromkey.
| Обратите внимание, что Ключ-АСТРОМ АктивныйШлюз, Модуль кода и ЕдиныйАгент используют схожий подход к управлению версиями, тогда как Ключ-АСТРОМ Operator, который следует другой концепции выпусков, использует другой подход к управлению версиями.
Во всех случаях для образов контейнеров используется тегирование образов на основе версии. Изменяемые теги образов, такие как «последняя версия», не используются. |
| Образ контейнера | Тег изображения |
|---|---|
| astromkey-operator | docker.io/astromkey/astromkey-operator:v1.5.0
|
| astromkey-activegate | public.ecr.aws/astromkey/astromkey-activegate:1.301.70.20241127-162512
|
| astromkey-codemodules | public.ecr.aws/astromkey/astromkey-codemodules:1.301.70.20241127-162512
|
| astromkey-oneagent | public.ecr.aws/astromkey/astromkey-oneagent:1.301.70.20241127-162512
|
| astromkey-k8s-node-config-collector | public.ecr.aws/astromkey/astromkey-k8s-node-config-collector:1.0.0
|
Проверка подписи образа
Все наши неизменяемые и подписанные образы контейнеров соответствуют лучшим практикам, повышая безопасность и защищая от атак на цепочки поставок. Чтобы узнать, как проверять подписи и гарантировать целостность программного обеспечения, см. статью Проверка подписей образов Ключ-АСТРОМ.
Копирование образов контейнеров Ключ-АСТРОМ
В следующем руководстве описывается, как скопировать образы контейнеров Ключ-АСТРОМ из публичного Amazon ECR в наш частный реестр с использованием следующих примеров атрибутов.
| Адрес частного реестра контейнеров | registry.my-company.com
|
| Репозиторий Ключ-АСТРОМ Operator | astromkey-operator
|
| Репозиторий Ключ-АСТРОМ АктивныйШлюз | astromkey-activegate
|
| Репозиторий Ключ-АСТРОМ Модуль кода | astromkey-codemodules
|
| Репозиторий Ключ-АСТРОМ ЕдиныйАгент | astromkey-oneagent
|
| Репозиторий Ключ-АСТРОМ K8s Node Config Collector | astromkey-k8s-node-config-collector
|
Инструкции ниже по копированию образов контейнеров в ваш личный реестр:
Skopeo (рекомендуется)
В связи с поддержкой простого копирования многоархитектурных образов и подписей 1 мы настоятельно рекомендуем использовать Skopeo CLI для копирования образов контейнеров. Подробнее о Skopeo CLI см. в репозитории Skopeo GitHub.
В следующих инструкциях обязательно всегда заменяйте <tag> на доступную версию (см. раздел Поддерживаемые публичные реестры).
Копирование образа Ключ-АСТРОМ Operator
Следующая команда показывает, как скопировать образ Ключ-АСТРОМ Operator в наш личный реестр:
| skopeo copy --all docker://public.ecr.aws/astromkey/astromkey-operator:<tag> \
docker://registry.my-company.com/astromkey-operator:<tag> |
Копирование образа Ключ-АСТРОМ АктивныйШлюз
Следующая команда показывает, как скопировать образ Ключ-АСТРОМ АктивныйШлюз в наш частный реестр:
| skopeo copy --all docker://public.ecr.aws/astromkey/astromkey-activegate:<tag> \
docker://registry.my-company.com/astromkey-activegate:<tag> |
Копирование образа Ключ-АСТРОМ Модуль кода
Следующая команда показывает, как скопировать образ Ключ-АСТРОМ Модуль кода в наш частный реестр:
| skopeo copy --all docker://public.ecr.aws/astromkey/astromkey-codemodules:<tag> \
docker://registry.my-company.com/astromkey-codemodules:<tag> |
Копирование образа Ключ-АСТРОМ ЕдиныйАгент
Следующая команда показывает, как скопировать образ Ключ-АСТРОМ ЕдиныйАгент в наш частный реестр:
| skopeo copy --all docker://public.ecr.aws/astromkey/astromkey-oneagent:<tag> \
docker://registry.my-company.com/astromkey-oneagent:<tag> |
Копирование образа Ключ-АСТРОМ K8s Node Config Collector
Следующая команда показывает, как скопировать образ Ключ-АСТРОМ K8s Node Config Collector в наш частный реестр:
| skopeo copy --all docker://public.ecr.aws/astromkey/astromkey-k8s-node-config-collector:<tag> \
docker://registry.my-company.com/astromkey-k8s-node-config-collector:<tag> |
1 Требуется для use-sigstore-attachments установить значение true в конфигурации реестров контейнеров Skopeo.
Docker CLI
Мы настоятельно рекомендуем использовать Skopeo CLI вместо Docker CLI для копирования образов контейнеров Ключ-АСТРОМ из публичных в частные реестры, поскольку Docker CLI не обеспечивает простого способа копирования многоархитектурных образов и подписей.
Если вы все еще хотите использовать Docker CLI, обратитесь к официальной документации Docker CLI.
Поддержка классического полнофункционального мониторинга
Для классического полнофункционального мониторинга требуется предварительно настроенный образ Ключ-АСТРОМ ЕдиныйАгент, который доступен только через встроенный реестр Ключ-АСТРОМ.
Следовательно, образ ЕдиногоАгента необходимо реплицировать через встроенный реестр Ключ-АСТРОМ, как описано ниже.
Прежде чем начать
Убедитесь, что вы соответствуете следующим предварительным условиям:
необходимоОбязательные предварительные условия сверхунеобходимоУчетные данные для встроенного реестра Ключ-АСТРОМ
Получите встроенные учетные данные реестра Ключ-АСТРОМ
Поскольку встроенный реестр Ключ-АСТРОМ требует аутентификации, вам необходимо знать идентификатор среды мониторинга и предоставить токен PaaS для входа в систему:
- Чтобы определить
<your-environment-id>, см. идентификатор среды. - Чтобы определить
<your-paas-token>, см. токен PaaS .
Пример входа с использованием Skopeo CLI:
| skopeo login -u <your-environment-id> -p <your-paas-token> <your-environment-url> |
Копирование образа Ключ-АСТРОМ ЕдиныйАгент для классического полнофункционального мониторинга
Встроенный реестр Ключ-АСТРОМ поддерживает только архитектуры x86-64 под управлением Linux. Поэтому мы рекомендуем явно задать/переопределить архитектуру и операционную систему.
| Как определить тег образа ЕдиныйАгент
Встроенный реестр Ключ-АСТРОМ предоставляет следующие форматы тегов образа ЕдиныйАгент:
Для репликации образов мы рекомендуем копировать такие образы (образы с суффиксом тега |
В следующих примерах показано, как версии ЕдиногоАгента преобразуются в теги образов, доступные во встроенном реестре Ключ-АСТРОМ:
| Версия ЕдиногоАгента | Тег образа ЕдиногоАгента |
|---|---|
| latest | latest-raw |
| 1.283.114.20240129-173640 | 1.283.114-raw |
Перед выполнением следующей команды обязательно замените <tag-with-raw-suffix> и <environment-id>:
| skopeo copy --override-arch amd64 --override-os linux
docker://<your_environment_domain_name>/linux/oneagent:<tag-with-raw-suffix> \ docker://registry.my-company.com/astromkey-oneagent-classic:<tag-with-raw-suffix> |
