証明書の概要

このガイドでは、Binary Authorization 証明書の作成方法と使用方法について説明します。コンテナ イメージのビルド後に証明書を作成すると、回帰テスト、脆弱性スキャン、その他のテストなど、イメージに対して必要なアクティビティが実行されたことを確認できます。証明書は、イメージの一意のダイジェストに署名することで作成されます。

デプロイ時に、Binary Authorization はアクティビティを繰り返す代わりに認証者を使用して証明書を検証します。イメージのすべての証明書を検証すると、Binary Authorization はイメージのデプロイを許可します。

始める前に

  1. Binary Authorization を有効にします

  2. 次のいずれかのプロダクトを使用して Binary Authorization を設定します。

Anthos Service Mesh(プレビュー)ユーザーは、Binary Authorization ポリシーのみを設定する必要があります。これを行うには、このガイドの後の部分に記載されているポリシーを構成するをご覧ください。

認証者を作成する

証明書を使用するには、まず認証者を作成します。デプロイ時に、Binary Authorization は認証者を使用して、コンテナ イメージに関連付けられた証明書を検証します。

認証者を作成するには、次の方法を使用します。

証明書を要求するポリシールールの構成

GKE

Cloud Run

次のいずれかの方法で、証明書を要求するようにデフォルト ルールを構成します。

Anthos クラスタ

Anthos Service Mesh

Anthos Service Mesh(プレビュー)ユーザーは、メッシュ サービス ID、Kubernetes サービス アカウント、または Kubernetes 名前空間をスコープとするルールを作成できます(証明書が必要なルールを含む)。

特定のルールを構成するには、次の方法を使用します。

証明書の作成

証明書は署名者によって作成されます。証明書を作成するプロセスは、イメージへの署名とも呼ばれます。署名者は、証明書を手動で作成する人間のユーザーです。または、自動サービスを署名者として設定することもできます。証明書を作成する際のさまざまな方法を説明した手順については、次のページをご覧ください。

イメージをデプロイする

証明書を作成したら、関連するイメージをデプロイできます。

GKE

GKE を使用してイメージをデプロイします

Cloud Run

Cloud Run を使用してイメージをデプロイします

Anthos クラスタ

Anthos clusters on VMware を使用してイメージをデプロイする

Anthos Service Mesh

ポリシーを保存すると、直ちに Anthos Service Mesh(プレビュー)ワークロードが適用されます。

次のステップ