이 가이드에서는 Binary Authorization 증명을 만들고 사용하는 방법을 설명합니다. 컨테이너 이미지가 빌드된 후에 증명을 만들어 회귀 테스트, 취약점 스캔 또는 기타 테스트와 같은 필수 활동이 이미지에서 수행되었음을 확인할 수 있습니다. 증명은 이미지의 고유 다이제스트에 서명하여 생성됩니다.
배포 중에 Binary Authorization은 활동을 반복하는 대신 증명자를 사용하여 증명을 확인합니다. 이미지의 모든 증명이 확인되면 Binary Authorization에서 이미지를 배포할 수 있습니다.
시작하기 전에
다음 제품 중 하나를 사용하여 Binary Authorization을 설정합니다.
Cloud Service Mesh 사용자는 Binary Authorization 정책만 설정하면 됩니다. 이 가이드의 뒷부분에 있는 정책 구성을 참조하세요.
증명자 만들기
증명을 사용하려면 먼저 증명자를 만듭니다. Binary Authorization은 배포 시에 증명자를 사용하여 컨테이너 이미지와 연결된 증명을 확인합니다.
.다음 방법을 사용하여 증명자를 만들 수 있습니다.
증명을 요구하도록 정책 규칙 구성
이 섹션에서는 증명을 요구하도록 정책을 구성하는 방법을 설명합니다.
GKE
다음 방법을 사용하여 증명을 요구하도록 기본 규칙을 구성합니다.
다음 방법을 사용하여 증명을 요구하도록 클러스터별 규칙을 구성합니다.
Cloud Run
다음 방법 중 하나를 사용하여 증명을 요구하도록 기본 규칙을 구성합니다.
분산 클라우드
- 다음 방법을 사용하여 증명을 요구하도록 기본 규칙을 구성합니다.
- 다음 방법을 사용하여 증명을 요구하도록 클러스터별 규칙을 구성합니다.
Cloud Service Mesh
Cloud Service Mesh 사용자는 메시 서비스 ID, Kubernetes 서비스 계정 또는 Kubernetes 네임스페이스로 범위가 지정된 규칙을 만들 수 있습니다(증명이 필요한 규칙 포함).
별도의 규칙을 구성하려면 다음 방법을 사용합니다.
증명 만들기
증명은 서명자가 만듭니다. 증명을 만드는 프로세스는 이미지 서명이라고도 합니다. 서명자는 증명을 수동으로 만드는 사람일 수 있습니다. 또는 서명자는 자동화된 서비스일 수 있습니다. 증명을 만들기 위한 다양한 접근 방식을 설명하는 안내는 다음 페이지를 참조하세요.
- 컨테이너 이미지에 서명하여 수동으로 증명 만들기
- Cloud Build 파이프라인에서 증명 만들기
- Voucher를 사용하여 Artifact Analysis 취약점 발견 항목을 기반으로 증명 만들기
- Kritis를 사용하여 Artifact Analysis 취약점 발견 항목을 기반으로 증명 만들기
이미지 배포
증명을 만들면 연결된 이미지를 배포할 수 있습니다.
GKE
Cloud Run
분산 클라우드
Cloud Service Mesh
정책이 저장되는 즉시 Cloud Service Mesh 워크로드에 정책이 적용됩니다.
다음 단계
- 감사 로그 보기
- Cloud Run breakglass 감사 로그 보기
- Break Glass 사용(GKE)
- Break Glass 사용(Cloud Run)
- Kubernetes 매니페스트에서 이미지 다이제스트 사용