Descripción general de las certificaciones

En esta guía, se describe cómo crear y usar certificaciones de autorización binaria. Después de compilar una imagen de contenedor, se puede crear una certificación para confirmar que se realizó una actividad obligatoria en la imagen, como una prueba de regresión, un análisis de vulnerabilidades o alguna otra prueba. La certificación se crea mediante la firma del resumen único de la imagen.

Durante la implementación, en lugar de repetir las actividades, la autorización binaria verifica las certificaciones mediante un certificador. Si se verifican todas las certificaciones de una imagen, la autorización binaria permite implementar la imagen.

Antes de comenzar

  1. Habilitar la autorización binaria.

  2. Configura la autorización binaria con uno de los siguientes productos:

Los usuarios de Anthos Service Mesh (vista previa) solo deben configurar la política de autorización binaria. Para hacerlo, consulta Configura una política, más adelante en esta guía.

Crea un certificador

Para usar certificaciones, primero debes crear certificadores. En el momento de la implementación, la autorización binaria usa certificadores para verificar la certificación asociada con la imagen de contenedor.

Puedes crear certificadores mediante los siguientes métodos:

Configura una regla de política para que exija certificaciones

En esta sección, se describe cómo configurar la política para requerir certificaciones.

GKE

Cloud Run

Configura la regla predeterminada para que exija certificaciones mediante uno de los siguientes métodos:

Clústeres de GKE

Anthos Service Mesh

Los usuarios de Anthos Service Mesh (vista previa) pueden crear reglas, incluidas reglas que requieran certificaciones, que tengan un alcance de una identidad de servicio de malla, una cuenta de servicio de Kubernetes o un espacio de nombres de Kubernetes.

Para configurar una regla específica, usa los siguientes métodos:

Crea certificaciones

Un firmante crea las certificaciones. El proceso de creación de una certificación también se conoce como firmar una imagen. Un firmante puede ser una persona que crea una certificación de forma manual. Como alternativa, un firmante puede ser un servicio automatizado. Si deseas obtener instrucciones que describen diferentes enfoques para crear certificaciones, consulta las siguientes páginas:

Implementa una imagen

Después de crear una certificación, estás listo para implementar la imagen asociada.

GKE

Implementa imágenes con GKE.

Cloud Run

Implementa imágenes con Cloud Run.

Clústeres de GKE

Implementa imágenes con clústeres de GKE.

Anthos Service Mesh

Las cargas de trabajo de Anthos Service Mesh (vista previa) se aplican apenas se guarda la política.

¿Qué sigue?