Questa guida descrive come creare e utilizzare Autorizzazione binaria attestati. Dopo che un'immagine container viene è possibile creare un'attestazione per affermare che è stata eseguiti sull'immagine, ad esempio un test di regressione, un'analisi delle vulnerabilità altro test. L'attestazione viene creata firmando il digest univoco dell'immagine.
Durante il deployment, invece di ripetere le attività, Autorizzazione binaria le attestazioni mediante un attestatore. Se tutte le attestazioni per un'immagine viene verificata, Autorizzazione binaria consente il deployment dell'immagine.
Prima di iniziare
Configura Autorizzazione binaria con uno dei seguenti prodotti:
Gli utenti di Cloud Service Mesh (anteprima) devono solo e configurare il criterio di Autorizzazione binaria. A questo scopo, consulta Configura un criterio, più avanti in questa guida.
Crea un attestatore
Per utilizzare le attestazioni, devi prima creare gli attacchi. Al momento del deployment, Autorizzazione binaria utilizza gli attestatori per verificare dell'attestazione associata all'immagine container.
Puoi creare attestatori utilizzando i seguenti metodi:
Configurare una regola del criterio per richiedere attestazioni
Questa sezione descrive come configurare il criterio per richiedere attestazioni.
GKE
Configura la regola predefinita in modo che richieda le attestazioni utilizzando quanto segue metodo:
Configura una regola specifica per il cluster per richiedere attestazioni utilizzando quanto segue metodo:
Cloud Run
Configura la regola predefinita in modo che richieda le attestazioni utilizzando una delle seguenti metodi:
Cluster GKE
- Configura la regola predefinita in modo che richieda le attestazioni utilizzando quanto segue metodo:
- Configura una regola specifica per il cluster per richiedere attestazioni utilizzando il metodo seguenti metodi:
Cloud Service Mesh
Gli utenti di Cloud Service Mesh (anteprima) possono creare incluse le regole che richiedono attestazioni, che hanno come ambito un'identità del servizio mesh, un account di servizio Kubernetes o nello spazio dei nomi.
Per configurare una regola specifica, utilizza i seguenti metodi:
Creazione di attestazioni
Le attestazioni vengono create da un firmatario. Il processo di creazione di un'attestazione è anche noto come firma di un'immagine. Un firmatario può essere una persona che crea manualmente un'attestazione. In alternativa, può essere un servizio automatizzato. Per istruzioni che descrivono per la creazione di attestazioni, consulta le seguenti pagine:
- Creare attestazioni manualmente firmando un'immagine container.
- Crea attestazioni in una pipeline Cloud Build.
- Crea attestazioni basate sui risultati delle vulnerabilità di Artifact Analysis utilizzando Voucher.
- Crea attestazioni basate sui risultati di vulnerabilità di Artifact Analysis utilizzando Kritis.
Esegui il deployment di un'immagine
Dopo aver creato un'attestazione, puoi eseguire il deployment dell'immagine associata.
GKE
Cloud Run
Cluster GKE
Esegui il deployment delle immagini utilizzando i cluster GKE.
Cloud Service Mesh
I carichi di lavoro di Cloud Service Mesh (anteprima) non appena la norma viene salvata.
Passaggi successivi
- Visualizza log di controllo
- Visualizza gli audit log per deployment di emergenza di Cloud Run
- Utilizzare il deployment di emergenza (GKE)
- Usa deployment di emergenza (Cloud Run)
- Utilizza digest delle immagini nei manifest di Kubernetes