Attestierungen – Übersicht

In diesem Leitfaden wird beschrieben, wie Sie Attestierungen für Binärautorisierungen erstellen und verwenden. Nachdem ein Container-Image erstellt wurde, kann eine Attestierung erstellt werden, um zu bestätigen, dass für das Image eine erforderliche Aktivität wie ein Regressionstest, ein Scannen auf Sicherheitslücken oder ein anderer Test ausgeführt wurde. Die Attestierung wird erstellt, indem der eindeutige Digest des Images signiert wird.

Während der Bereitstellung hat die Binärautorisierung nicht die Aktivitäten wiederholt, sondern die Attestierungen mithilfe eines Attestierers. Wenn alle Attestierungen für ein Image geprüft wurden, ermöglicht die Binärautorisierung die Bereitstellung des Images.

Hinweis

  1. Aktivieren Sie die Binärautorisierung.

  2. Richten Sie die Binärautorisierung mit einem der folgenden Produkte ein:

Cloud Service Mesh-Nutzer müssen nur die Richtlinie für die Binärautorisierung einrichten. Weitere Informationen dazu finden Sie weiter unten in dieser Anleitung unter Richtlinie konfigurieren.

Attestierer erstellen

Wenn Sie Attestierungen verwenden möchten, erstellen Sie zuerst Attestierer. Bei der Bereitstellung verwendet die Binärautorisierung Attestierer, um die mit dem Container-Image verknüpfte Attestierung zu prüfen.

Sie können Attestierer mit den folgenden Methoden erstellen:

Richtlinienregel so konfigurieren, dass Attestierungen erforderlich sind

In diesem Abschnitt wird beschrieben, wie Sie die Richtlinie so konfigurieren, dass Attestierungen erforderlich sind.

GKE

Cloud Run

Konfigurieren Sie die Standardregel so, dass Attestierungen mithilfe einer der folgenden Methoden erforderlich sind:

Distributed Cloud

Cloud Service Mesh

Cloud Service MeshVorschau Nutzer können Regeln erstellen – einschließlich Regeln, die Attestierungen erfordern –, die entweder auf eine Mesh-Dienstidentität, ein Kubernetes-Dienstkonto oder einen Kubernetes-Namespace beschränkt sind.

Führen Sie die folgenden Methoden aus, um eine bestimmte Regel zu konfigurieren:

Attestierungen erstellen

Attestierungen werden von einem Signer erstellt. Das Erstellen einer Attestierung wird auch als Signieren eines Images bezeichnet. Ein Signer kann eine Person sein, die manuell eine Attestierung erstellt. Alternativ kann ein Signaturgeber ein automatisierter Dienst sein. Eine Anleitung zur Beschreibung der verschiedenen Ansätze zum Erstellen von Attestierungen finden Sie auf den folgenden Seiten:

Ein Image bereitstellen

Nachdem Sie eine Attestierung erstellt haben, können Sie das zugehörige Image bereitstellen.

GKE

Images mit GKE bereitstellen

Cloud Run

Images mit Cloud Run bereitstellen

Distributed Cloud

Images mit Distributed Cloud bereitstellen

Cloud Service Mesh

Cloud Service Mesh-Arbeitslasten werden erzwungen, sobald die Richtlinie gespeichert wird.

Nächste Schritte