Questa guida descrive come creare e utilizzare le attestazioni di Autorizzazione binaria. Dopo aver creato un'immagine container, puoi creare un'attestazione per affermare che è stata eseguita un'attività richiesta sull'immagine, come un test di regressione, un'analisi delle vulnerabilità o un altro test. L'attestazione viene creata firmando il digest univoco dell'immagine.
Durante il deployment, invece di ripetere le attività, Autorizzazione binaria verifica le attestazioni utilizzando un attestatore. Se tutte le attestazioni di un'immagine sono verificate, Autorizzazione binaria consente il deployment dell'immagine.
Prima di iniziare
Configura Autorizzazione binaria con uno dei seguenti prodotti:
Gli utenti di Anthos Service Mesh (anteprima) devono solo configurare il criterio di Autorizzazione binaria. Per farlo, consulta la sezione Configurare un criterio, più avanti in questa guida.
Crea un attestatore
Per utilizzare le attestazioni, devi prima creare gli attestatori. Al momento del deployment, Autorizzazione binaria utilizza gli attestatori per verificare l'attestato associato all'immagine container.
Puoi creare attestatori utilizzando i seguenti metodi:
Configura una regola del criterio per richiedere le attestazioni
Questa sezione descrive come configurare il criterio per richiedere le attestazioni.
GKE
Configura la regola predefinita per richiedere le attestazioni utilizzando i seguenti metodi:
Configura una regola specifica per il cluster per richiedere le attestazioni utilizzando i seguenti metodi:
Cloud Run
Configura la regola predefinita per richiedere le attestazioni utilizzando uno dei seguenti metodi:
Cluster Anthos
- Configura la regola predefinita per richiedere le attestazioni utilizzando i seguenti metodi:
- Configura una regola specifica per il cluster per richiedere le attestazioni utilizzando i seguenti metodi:
Anthos Service Mesh
Gli utenti di Anthos Service Mesh (Anteprima) possono creare regole, incluse regole che richiedono attestazioni, il cui ambito sia un'identità di servizio mesh, un account di servizio Kubernetes o uno spazio dei nomi Kubernetes.
Per configurare una regola specifica, utilizza i seguenti metodi:
Creazione di attestazioni
Le attestazioni sono create da un firmatore. La procedura di creazione di un'attestazione è nota anche come firma di un'immagine. Un firmatore può essere una persona che crea manualmente un'attestazione. In alternativa, un firmatario può essere un servizio automatizzato. Per istruzioni che descrivono i diversi approcci alla creazione degli attestati, consulta le pagine seguenti:
- Crea manualmente le attestazioni firmando un'immagine container.
- Crea attestazioni in una pipeline Cloud Build.
- Crea attestazioni basate sui risultati delle vulnerabilità di Artifact Analysis utilizzando il coupon.
- Crea attestazioni basate sui risultati delle vulnerabilità di Artifact Analysis utilizzando Kritis.
Esegui il deployment di un'immagine
Dopo aver creato un'attestazione, puoi eseguire il deployment dell'immagine associata.
GKE
Cloud Run
Cluster Anthos
Esegui il deployment delle immagini utilizzando i cluster Anthos.
Anthos Service Mesh
I carichi di lavoro di Anthos Service Mesh (anteprima) vengono applicati non appena viene salvato il criterio.
Passaggi successivi
- Visualizza audit log
- Visualizza audit log di deployment di Cloud Run
- Utilizzare il deployment di emergenza (GKE)
- Utilizzare il deployment di emergenza (Cloud Run)
- Utilizza i digest delle immagini nei manifest di Kubernetes