Attestierungen – Übersicht

In diesem Leitfaden wird beschrieben, wie Sie Attestierungen für Binärautorisierungen erstellen und verwenden. Nachdem ein Container-Image erstellt wurde, kann eine Attestierung erstellt werden, um zu bestätigen, dass für das Image eine erforderliche Aktivität wie ein Regressionstest, ein Scannen auf Sicherheitslücken oder ein anderer Test ausgeführt wurde. Die Attestierung wird erstellt, indem der eindeutige Digest des Images signiert wird.

Während der Bereitstellung hat die Binärautorisierung nicht die Aktivitäten wiederholt, sondern die Attestierungen mithilfe eines Attestierers. Wenn alle Attestierungen für ein Image geprüft wurden, ermöglicht die Binärautorisierung die Bereitstellung des Images.

Hinweis

  1. Aktivieren Sie die Binärautorisierung.

  2. Richten Sie die Binärautorisierung mit einem der folgenden Produkte ein:

Anthos Service Mesh-(Vorschau)-Nutzer müssen nur die Richtlinie für die Binärautorisierung einrichten. Weitere Informationen dazu finden Sie weiter unten in dieser Anleitung unter Richtlinie konfigurieren.

Attestierer erstellen

Wenn Sie Attestierungen verwenden möchten, erstellen Sie zuerst Attestierer. Bei der Bereitstellung verwendet die Binärautorisierung Attestierer, um die mit dem Container-Image verknüpfte Attestierung zu prüfen.

Sie können Attestierer mit den folgenden Methoden erstellen:

Richtlinienregel so konfigurieren, dass Attestierungen erforderlich sind

GKE

  • Konfigurieren Sie die Standardregel so, dass Attestierungen mithilfe der folgenden Methoden erforderlich sind:

  • Konfigurieren Sie eine clusterspezifische Regel, die Attestierungen mithilfe der folgenden Methoden erfordert:

Cloud Run

Konfigurieren Sie die Standardregel so, dass Attestierungen mithilfe einer der folgenden Methoden erforderlich sind:

Anthos-Cluster

  • Konfigurieren Sie die Standardregel so, dass Attestierungen mithilfe der folgenden Methoden erforderlich sind:
  • Konfigurieren Sie eine clusterspezifische Regel, um Attestierungen mithilfe der folgenden Methoden anzufordern:

Anthos Service Mesh

Anthos Service MeshVorschau Nutzer können Regeln erstellen – einschließlich Regeln, die Attestierungen erfordern –, die entweder auf eine Mesh-Dienstidentität, ein Kubernetes-Dienstkonto oder einen Kubernetes-Namespace beschränkt sind.

Führen Sie die folgenden Methoden aus, um eine bestimmte Regel zu konfigurieren:

Attestierungen erstellen

Attestierungen werden von einem Signer erstellt. Das Erstellen einer Attestierung wird auch als Signieren eines Images bezeichnet. Ein Signer kann eine Person sein, die manuell eine Attestierung erstellt. Alternativ kann ein Signaturgeber ein automatisierter Dienst sein. Eine Anleitung zur Beschreibung der verschiedenen Ansätze zum Erstellen von Attestierungen finden Sie auf den folgenden Seiten:

Ein Image bereitstellen

Nachdem Sie eine Attestierung erstellt haben, können Sie das zugehörige Image bereitstellen.

GKE

Images mit GKE bereitstellen

Cloud Run

Images mit Cloud Run bereitstellen

Anthos-Cluster

Images mit Anthos-Clustern auf VMware bereitstellen

Anthos Service Mesh

Anthos Service Mesh-(Vorschauen)-Arbeitslasten werden erzwungen, sobald die Richtlinie gespeichert wird.

Nächste Schritte