本指南介绍如何创建和使用 Binary Authorization 证明。构建容器映像后,您可以创建证明来确认已对映像执行了必要的活动,例如回归测试、漏洞扫描或其他测试。您可以通过对映像的唯一摘要进行签名来创建证明。
在部署期间,Binary Authorization 会使用证明者来验证证明,而不会重复执行上述活动。如果映像的所有证明都通过验证,Binary Authorization 则会允许部署该映像。
准备工作
使用以下产品之一设置 Binary Authorization:
Cloud Service Mesh 用户只需设置 Binary Authorization 政策即可。如需执行此操作,请参阅本指南后面部分的配置政策。
创建证明者
如需使用证明,您首先需要创建证明者。在部署时,Binary Authorization 使用证明者来验证与容器映像关联的证明。
您可以使用以下方法创建证明者:
将政策规则配置为要求提供证明
本部分介绍如何将政策配置为要求提供证明。
GKE
使用以下方法将默认规则配置为要求提供证明:
使用以下方法配置针对集群的规则以要求提供证明:
Cloud Run
使用以下方法之一将默认规则配置为要求提供证明:
分布式云
- 使用以下方法配置默认规则以要求提供证明:
- 使用以下方法配置针对集群的规则以要求提供证明:
Cloud Service Mesh
Cloud Service Mesh 用户可以创建规则(包括要求提供证明的规则),这些规则的范围限定为网格服务身份、Kubernetes 服务账号或 Kubernetes 命名空间。
如需配置特定规则,请使用以下方法:
创建证明
证明是由签名者创建的。创建证明的过程也称为“对映像签名”。签名者可以是一个手动创建证明的人员,也可以是一项自动化服务。如需查看描述用于创建证明的各种方法的说明,请参阅以下页面:
- 通过对容器映像签名来手动创建证明。
- 在 Cloud Build 流水线中创建证明。
- 使用 Voucher 根据 Artifact Analysis 漏洞发现结果创建证明。
- 使用 Kritis 根据 Artifact Analysis 漏洞发现结果创建证明。
部署映像
创建证明后,您便可以开始部署关联的映像。
GKE
Cloud Run
分布式云
Cloud Service Mesh
Cloud Service Mesh 工作负载会在保存政策后立即执行。
后续步骤
- 查看审核日志
- 查看 Cloud Run Breakglass 审核日志
- 使用 Breakglass (GKE)
- 使用 Breakglass (Cloud Run)
- 在 Kubernetes 清单中使用映像摘要