このガイドでは、Binary Authorization 証明書の作成と使用方法について説明します。コンテナ イメージをビルドした後、必要なアクティビティ(回帰テスト、脆弱性スキャン、その他のテストなど)がイメージで実行されていることを確認するために証明書を作成できます。証明書は、イメージの一意のダイジェストに署名することで作成されます。
デプロイ中に、Binary Authorization は認証者を使用して証明書の検証を行います。アクティビティの繰り返しは行いません。イメージのすべての証明書が検証されると、Binary Authorization はイメージのデプロイを許可します。
始める前に
次のいずれかのプロダクトを使用して Binary Authorization を設定します。
Anthos Service Mesh(プレビュー)ユーザーは、Binary Authorization ポリシーのみを設定する必要があります。これを行うには、このガイドの後の部分に記載されているポリシーを構成するをご覧ください。
認証者を作成する
証明書を使用するには、まず認証者を作成します。デプロイ時に、Binary Authorization は認証者を使用して、コンテナ イメージに関連付けられた証明書を検証します。
認証者を作成するには、次の方法を使用します。
証明書を要求するポリシールールを構成する
このセクションでは、証明書を要求するポリシーを構成する方法について説明します。
GKE
次の方法で、証明書を要求するデフォルト ルールを構成します。
次の方法で、証明書を要求するようにクラスタ固有のルールを構成します。
Cloud Run
次のいずれかの方法で、証明書を要求するデフォルト ルールを構成します。
GKE クラスタ
- 次の方法で、証明書を要求するデフォルト ルールを構成します。
- 次の方法で、証明書を要求するようにクラスタ固有のルールを構成します。
Anthos Service Mesh
Anthos Service Mesh(プレビュー)ユーザーは、メッシュ サービス ID、Kubernetes サービス アカウント、または Kubernetes Namespace をスコープとするルールを作成できます(証明書が必要なルールを含む)。
特定のルールを構成するには、次の方法を使用します。
証明書を作成する
証明書は署名者によって作成されます。証明書を作成するプロセスは、イメージへの署名とも呼ばれます。署名者は、証明書を手動で作成するユーザーです。また、自動サービスを署名者として設定することもできます。証明書の作成手順の詳細については、次のページをご覧ください。
- コンテナ イメージに署名して、証明書を手動で作成します。
- Cloud Build パイプラインで証明書を作成する。
- Voucher を使用して、Artifact Analysis の脆弱性の検出結果に基づいて証明書を作成する。
- Kritis を使用して、Artifact Analysis の脆弱性の検出結果に基づいて証明書を作成する。
イメージをデプロイする
証明書を作成したら、関連するイメージをデプロイできます。
次のステップ
- 監査ログを表示する
- Cloud Run のブレークグラス監査ログを表示する
- ブレークグラスを使用する(GKE)
- ブレークグラスを使用する(Cloud Run)
- Kubernetes マニフェストでイメージ ダイジェストを使用する