本指南說明如何建立及使用二進位授權認證。建構容器映像檔後,即可建立認證,確認映像檔已執行必要活動,例如迴歸測試、安全漏洞掃描或其他測試。認證是透過簽署映像檔的專屬摘要建立。
在部署期間,二進位檔授權會使用驗證者驗證認證,而不是重複執行活動。如果映像檔的所有認證都通過驗證,二進位授權就會允許部署該映像檔。
事前準備
使用下列其中一項產品設定二進位授權:
Cloud Service Mesh 使用者只需要設定二進位授權政策。如要這麼做,請參閱本指南稍後的「設定政策」。
建立驗證者
如要使用認證,請先建立認證者。 在部署時,二進位授權會使用驗證者來驗證與容器映像檔相關聯的認證。
您可以使用下列方法建立認證者:
設定政策規則,要求提供認證
本節說明如何設定政策,要求提供認證。
GKE
使用下列方法設定預設規則,要求認證:
設定叢集專屬規則,透過下列方法要求認證:
Cloud Run
使用下列其中一種方法,將預設規則設為需要認證:
Distributed Cloud
- 使用下列方法設定預設規則,要求認證:
- 如要設定叢集專屬規則,規定必須使用驗證,請採用下列方法:
Cloud Service Mesh
Cloud Service Mesh 使用者可以建立規則 (包括需要認證的規則),並將規則範圍限定為網格服務身分、Kubernetes 服務帳戶或 Kubernetes 命名空間。
如要設定特定規則,請使用下列方法:
建立認證
認證是由簽署者建立。 建立認證的程序也稱為「簽署映像檔」。 簽署者可以是手動建立認證的人員。或者,簽署者也可以是自動化服務。如需建立認證的不同方法,請參閱下列頁面:
- 手動建立認證:簽署容器映像檔。
- 在 Cloud Build 管道中建立認證。
部署映像檔
建立認證後,即可部署相關聯的映像檔。
GKE
Cloud Run
Distributed Cloud
Cloud Service Mesh
儲存政策後,系統會立即對 Cloud Service Mesh 工作負載強制執行政策。