Хранение образов Ключ-АСТРОМ в приватных реестрах
Для пользователей, желающих контролировать свою среду хостинга образов, Ключ-АСТРОМ предлагает возможность загружать образы и подписи в частные реестры.
Мы рекомендуем использовать закрытый реестр для оптимальной производительности и отсутствия рисков, связанных с ограничением скорости передачи данных, в высоконагруженных и динамичных средах. Кроме того, для соответствия стандартам безопасности и обеспечения целостности программного обеспечения при одновременном снижении рисков, связанных с цепочкой поставок, рекомендуется использовать сканирование образов и проверку подписей с помощью образов Ключ-АСТРОМ.
Импортируя образы Ключ-АСТРОМ в свой личный реестр, вы можете легко объединить отличную производительность доставки с гарантией безопасности, подписи и неизменности образов. Мы предоставляем мультиархитектурные образы для обеспечения совместимости на различных платформах с поддержкой архитектур ARM64 (AArch64) и x86-64 в Linux.
На этой странице приведены рекомендации по безопасному хранению неизменяемых образов Ключ-АСТРОМ в частном реестре, включая инструкции по извлечению образов, проверке подписей образов и отправке в выбранный вами частный реестр.
Предустановка
Прежде чем начать, убедитесь, что выполнены следующие предварительные условия:
- необходимо Частный реестр
- необходимо Доступ для записи к репозиториям образов Ключ-АСТРОМ
- необязательно Skopeo для легкого копирования наших образов
- необязательно Cosign для проверки подписи образов
Образы контейнеров Ключ-АСТРОМ
Неизменяемые и подписанные образы контейнеров Ключ-АСТРОМ доступны в различных реестрах контейнеров. Подробнее о репозиториях и тегах можно узнать в поддерживаемых нами публичных реестрах .
Мы настоятельно рекомендуем выбрать один из поддерживаемых нами публичных реестров, из которого можно скопировать образы контейнеров.
| Пожалуйста, не используйте встроенный реестр Ключ-АСТРОМ для копирования образов в частные реестры.
Исключение составляет образ ЕдиногоАгента для Full-Stack, для корректной работы которого соответствующий образ необходимо скопировать из встроенного реестра. |
Варианты наблюдаемости
В зависимости от выбранных параметров наблюдения , вам может потребоваться копировать только необходимые образы. В следующей таблице описана связь между изображениями astromkey и параметрами наблюдения.
| Наблюдаемость | Operator Ключ-АСТРОМ | Ключ-АСТРОМ АктивныйШлюз | Модуль кода Ключ-АСТРОМ | Ключ-АСТРОМ ЕдиныйАгент |
|---|---|---|---|---|
| Полная наблюдаемость
(Классический полный стек) |
необходимо | необходимо | - | требуется1 |
| Полная наблюдаемость
(Облачный полный стек) |
необходимо | необходимо | необходимо | необходимо |
| Наблюдаемость Kubernetes | необходимо | необходимо | - | - |
| Наблюдаемость приложения | необходимо | необходимо | необходимо | - |
1Необходимо импортировать из встроенного реестра Ключ-АСТРОМ. Подробнее см. в разделе Поддержка классического полностекового мониторинга (ниже).
Теги образов
Чтобы показать, как управление версиями напрямую связано с тегированием образов, в следующей таблице перечислены реальные примеры тегов образов для образов контейнеров Ключ-АСТРОМ.
Обратите внимание, что Ключ-АСТРОМ АктивныйШлюз, Code Modules и ЕдиныйАгент используют схожий подход к управлению версиями, тогда как Ключ-АСТРОМ Operator, который следует другой тенденции выпусков, использует другой подход к управлению версиями.
Во всех случаях для образов контейнеров используется тегирование образов на основе версии. Изменяемые теги образов, такие как «последняя версия», не используются.
| Образы контейнера | Тег образа |
|---|---|
| astromkey-operator | docker.io/astromkey/astromkey-operator:v1.5.0
|
| astromkey-activegate | public.ecr.aws/astromkey/astromkey-activegate:1.301.70.20241127-162512
|
| astromkey-codemodules | public.ecr.aws/astromkey/astromkey-codemodules:1.301.70.20241127-162512
|
| astromkey-oneagent | public.ecr.aws/astromkey/astromkey-oneagent:1.301.70.20241127-162512
|
| astromkey-k8s-node-config-collector | public.ecr.aws/astromkey/astromkey-k8s-node-config-collector:1.0.0
|
Проверка подписи образов
Все наши неизменяемые и подписанные образы контейнеров соответствуют лучшим практикам, повышая безопасность и защищая от атак на цепочки поставок. Чтобы узнать, как проверять подписи и гарантировать целостность программного обеспечения, см. статью Проверка подписей образов Ключ-АСТРОМ.
Копировать образы контейнеров Ключ-АСТРОМ
В следующем руководстве описывается, как скопировать образы контейнеров Ключ-АСТРОМ из публичного Amazon ECR в наш частный реестр с использованием следующих примеров атрибутов.
| Адрес частного реестра контейнеров | registry.my-company.com
|
| Репозиторий Operator Ключ-АСТРОМ | astromkey-operator
|
| Репозиторий Ключ-АСТРОМ АктивныйШлюз | astromkey-activegate
|
| Репозиторий модулей кода Ключ-АСТРОМ | astromkey-codemodules
|
| Репозиторий Ключ-АСТРОМ ЕдиныйАгент | astromkey-oneagent
|
| Репозиторий Ключ-АСТРОМ K8s Node Config Collector | astromkey-k8s-node-config-collector
|
Инструкции ниже по копированию образов контейнеров в ваш личный реестр:
Skopeo (рекомендуется)
рекомендуется
В связи с поддержкой простого копирования многоархитектурных образов и подписей 1 мы настоятельно рекомендуем использовать Skopeo CLI для копирования образов контейнеров. Подробнее о Skopeo CLI см. в репозитории Skopeo GitHub.
В следующих инструкциях обязательно всегда заменяйте <tag> на доступную версию (см. раздел Поддерживаемые общедоступные реестры).
Копировать образ Ключ-АСТРОМ Operator
Следующая команда показывает, как скопировать образ Ключ-АСТРОМ Operator в наш личный реестр:
| skopeo copy --all docker://public.ecr.aws/astromkey/astromkey-operator:<tag> \
docker://registry.my-company.com/astromkey-operator:<tag> |
Копировать образ Ключ-АСТРОМ АктивныйШлюз
Следующая команда показывает, как скопировать образ Ключ-АСТРОМ АктивныйШлюз в наш частный реестр:
| skopeo copy --all docker://public.ecr.aws/astromkey/astromkey-activegate:<tag> \
docker://registry.my-company.com/astromkey-activegate:<tag> |
Копировать образ модулей кода Ключ-АСТРОМ
Следующая команда показывает, как скопировать образ Ключ-АСТРОМ Code Modules в наш частный реестр:
| skopeo copy --all docker://public.ecr.aws/astromkey/astromkey-codemodules:<tag> \
docker://registry.my-company.com/astromkey-codemodules:<tag> |
Копировать образ Ключ-АСТРОМ ЕдиныйАгент
Следующая команда показывает, как скопировать образ Ключ-АСТРОМ ЕдиныйАгент в наш частный реестр:
| skopeo copy --all docker://public.ecr.aws/astromkey/astromkey-oneagent:<tag> \
docker://registry.my-company.com/astromkey-oneagent:<tag> |
Копировать образ Ключ-АСТРОМ K8s Node Config Collector
Следующая команда показывает, как скопировать образ Ключ-АСТРОМ K8s Node Config Collector в наш частный реестр:
| skopeo copy --all docker://public.ecr.aws/astromkey/astromkey-k8s-node-config-collector:<tag> \
docker://registry.my-company.com/astromkey-k8s-node-config-collector:<tag> |
1Требуется в use-sigstore-attachments установить значение true в конфигурации реестров контейнеров Skopeo.
Docker CLI
Мы настоятельно рекомендуем использовать Skopeo CLI вместо Docker CLI для копирования образов контейнеров Ключ-АСТРОМ из публичных в частные реестры, поскольку Docker CLI не обеспечивает простого способа копирования многоархитектурных образов и подписей.
Если вы все еще хотите использовать Docker CLI, обратитесь к официальной документации Docker CLI.
Поддержка классического полнофункционального мониторинга
Для классического полнофункционального мониторинга требуется предварительно настроенный образ Ключ-АСТРОМ ЕдиныйАгент, который доступен только через встроенный реестр Ключ-АСТРОМ.
Следовательно, образ ЕдиныйАгент необходимо импортировать через встроенный реестр Ключ-АСТРОМ, как описано ниже.
Прежде чем начать
Убедитесь, что вы соответствуете следующим предварительным условиям:
- необходимый Обязательные предварительные условия сверху
- необходимый Учетные данные для встроенного реестра Ключ-АСТРОМ
Получите встроенные учетные данные реестра Ключ-АСТРОМ
Поскольку встроенный реестр Ключ-АСТРОМ требует аутентификации, вам необходимо знать идентификатор среды мониторинга и предоставить токен PaaS для входа в систему:
- Чтобы определить
<your-environment-id>, см. идентификатор среды. - Чтобы определить
<your-paas-token>, см. токен PaaS.
Пример входа с использованием Skopeo CLI:
| skopeo login -u <your-environment-id> -p <your-paas-token> <your-environment-url> |
Обратите внимание, что в этом разделе рассматриваются только конфигурации классического полнофункционального мониторинга.
Копировать образ Ключ-АСТРОМ ЕдиныйАгент для классического полнофункционального мониторинга
Встроенный реестр Ключ-АСТРОМ поддерживает только архитектуры x86-64 под управлением Linux. Поэтому мы рекомендуем вам задать/переопределить архитектуру и операционную систему.
Как определить тег образа ЕдиногоАгента
Встроенный реестр Ключ-АСТРОМ предоставляет следующие форматы тегов образов ЕдиногоАгента:
latestlatest-raw<major>.<minor>.<revision><major>.<minor>.<revision>-raw
Для импортирования образов мы рекомендуем копировать необработанные образы (образы с суффиксом тега -raw).
Чтобы понять, какие версии ЕдиногоАгента доступны для импортирования, вы можете использовать следующие API развертывания:
- Перечислите доступные версии ЕдиногоАгента, чтобы получить обзор доступных версий ЕдиногоАгента.
- Ознакомьтесь с последней версией ЕдиногоАгента
latest, если вы хотите узнать больше о версии ЕдиногоАгента или автоматизировать импортирования образов ЕдиногоАгента.
В следующих примерах показано, как версии ЕдиногоАгента преобразуются в теги образов, доступные во встроенном реестре Ключ-АСТРОМ:
| Версия ЕдиногоАгента | Тег образа ЕдиногоАгента |
|---|---|
| latest | latest-raw |
| 1.283.114.20240129-173640 | 1.283.114-raw |
Перед выполнением следующей команды обязательно замените <tag-with-raw-suffix> и <environment-id>:
| skopeo copy --override-arch amd64 --override-os linux
docker://<your_environment_domain_name>/linux/oneagent:<tag-with-raw-suffix> \ docker://registry.my-company.com/astromkey-oneagent-classic:<tag-with-raw-suffix> |
