证明概览

本指南介绍如何创建和使用 Binary Authorization 证明。构建容器映像后,您可以创建证明来确认已对映像执行了必要的活动,例如回归测试、漏洞扫描或其他测试。您可以通过对映像的唯一摘要进行签名来创建证明。

在部署期间,Binary Authorization 会使用证明者来验证证明,而不会重复执行上述活动。如果映像的所有证明都通过验证,Binary Authorization 则会允许部署该映像。

准备工作

  1. 启用 Binary Authorization

  2. 使用以下产品之一设置 Binary Authorization:

Cloud Service Mesh(预览版)用户只需设置 Binary Authorization 政策即可。如需执行此操作,请参阅本指南后面部分的配置政策

创建证明者

如需使用证明,您首先需要创建证明者。在部署时,Binary Authorization 使用证明者来验证与容器映像关联的证明。

您可以使用以下方法创建证明者:

将政策规则配置为要求提供证明

本部分介绍如何将政策配置为要求提供证明。

GKE

Cloud Run

使用以下方法之一将默认规则配置为要求提供证明:

GKE 集群

Cloud Service Mesh

Cloud Service Mesh(预览版)用户可以创建规则(包括要求提供证明的规则),这些规则的范围限定为网格服务身份、Kubernetes 服务账号或 Kubernetes 命名空间。

如需配置特定规则,请使用以下方法:

创建证明

证明是由签名者创建的。创建证明的过程也称为“对映像签名”。签名者可以是一个手动创建证明的人员,也可以是一项自动化服务。如需查看描述用于创建证明的各种方法的说明,请参阅以下页面:

部署映像

创建证明后,您便可以开始部署关联的映像。

GKE

使用 GKE 部署映像

Cloud Run

使用 Cloud Run 部署映像

GKE 集群

使用 GKE 集群部署映像

Cloud Service Mesh

Cloud Service Mesh(预览版)工作负载会在保存政策后立即执行。

后续步骤