증명 개요

이 가이드에서는 Binary Authorization 증명을 만들고 사용하는 방법을 설명합니다. 컨테이너 이미지가 빌드된 후에 증명을 만들어 회귀 테스트, 취약점 스캔 또는 기타 테스트와 같은 필수 활동이 이미지에서 수행되었음을 확인할 수 있습니다. 증명은 이미지의 고유 다이제스트에 서명하여 생성됩니다.

배포 중에 Binary Authorization은 활동을 반복하는 대신 증명자를 사용하여 증명을 확인합니다. 이미지의 모든 증명이 확인되면 Binary Authorization에서 이미지를 배포할 수 있습니다.

시작하기 전에

  1. Binary Authorization을 사용 설정합니다.

  2. 다음 제품 중 하나를 사용하여 Binary Authorization을 설정합니다.

Cloud Service Mesh 사용자는 Binary Authorization 정책만 설정하면 됩니다. 이 가이드의 뒷부분에 있는 정책 구성을 참조하세요.

증명자 만들기

증명을 사용하려면 먼저 증명자를 만듭니다. Binary Authorization은 배포 시에 증명자를 사용하여 컨테이너 이미지와 연결된 증명을 확인합니다.

.

다음 방법을 사용하여 증명자를 만들 수 있습니다.

증명을 요구하도록 정책 규칙 구성

이 섹션에서는 증명을 요구하도록 정책을 구성하는 방법을 설명합니다.

GKE

Cloud Run

다음 방법 중 하나를 사용하여 증명을 요구하도록 기본 규칙을 구성합니다.

분산 클라우드

Cloud Service Mesh

Cloud Service Mesh 사용자는 메시 서비스 ID, Kubernetes 서비스 계정 또는 Kubernetes 네임스페이스로 범위가 지정된 규칙을 만들 수 있습니다(증명이 필요한 규칙 포함).

별도의 규칙을 구성하려면 다음 방법을 사용합니다.

증명 만들기

증명은 서명자가 만듭니다. 증명을 만드는 프로세스는 이미지 서명이라고도 합니다. 서명자는 증명을 수동으로 만드는 사람일 수 있습니다. 또는 서명자는 자동화된 서비스일 수 있습니다. 증명을 만들기 위한 다양한 접근 방식을 설명하는 안내는 다음 페이지를 참조하세요.

이미지 배포

증명을 만들면 연결된 이미지를 배포할 수 있습니다.

GKE

GKE를 사용하여 이미지 배포.

Cloud Run

Cloud Run을 사용하여 이미지 배포

분산 클라우드

Distributed Cloud를 사용하여 이미지 배포

Cloud Service Mesh

정책이 저장되는 즉시 Cloud Service Mesh 워크로드에 정책이 적용됩니다.

다음 단계