Richtlinie zur Binärautorisierung mit GKE konfigurieren

Diese Kurzanleitung zeigt, wie Sie eine Basisregel in einer Richtlinie für die Binärautorisierung konfigurieren und testen.

In dieser Kurzanleitung rufen Sie die Standardregel in der Richtlinie auf und konfigurieren sie. Die Standardregel ermöglicht die Bereitstellung aller Images. Stellen Sie ein Container-Image in einem GKE-Cluster (Google Kubernetes Engine) bereit, um das zu testen. Anschließend legen Sie die Standardregel fest, um die Bereitstellung aller Images zu verhindern, und dann versuchen Sie, ein Image bereitzustellen.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Installieren Sie kubectl:

Cluster mit aktivierter Binärautorisierung-Erzwingung erstellen

Sie erstellen jetzt einen GKE-Cluster mit aktivierter Binärautorisierung. Dies ist der Cluster, in dem die bereitgestellten Container-Images ausgeführt werden sollen.

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern.

Google Cloud Console

In den folgenden Schritten wird ein Autopilot-Cluster konfiguriert.

  1. Rufen Sie in der Google Cloud Console die Seite mit den Kubernetes-Clustern auf.

    Zu GKE

  2. Klicken Sie auf Erstellen.

  3. Führen Sie unter Autopilot-Cluster erstellen die folgenden Schritte aus:

    1. Geben Sie im Feld Name test-cluster ein.

    2. Wählen Sie im Menü Region die Option us-central1 aus.

    3. Maximieren Sie den Abschnitt Erweiterte Einstellungen.

    4. Klicken Sie auf den Link Sicherheit, um das Feld Sicherheit einzublenden.

    5. Klicken Sie im Feld Sicherheit das Kästchen Binärautorisierung aktivieren an.

    6. Wählen Sie Nur erzwingen aus.

    7. Klicken Sie auf Weiter und dann auf Weiter:Überprüfen und erstellen.

    8. Klicken Sie auf Erstellen, um den Cluster zu erstellen.

gcloud

Führen Sie gcloud container clusters create mit dem aktivierten Flag --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE aus:

gcloud container clusters create \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --zone us-central1-a \
    test-cluster

Das Erstellen eines Clusters kann einige Minuten dauern.

Standardrichtlinie

Standardmäßig ist Ihre Richtlinie für die Binärautorisierung so konfiguriert, dass alle Container-Images bereitgestellt werden können.

Google Cloud Console

So rufen Sie die Standardrichtlinie auf:

  1. Rufen Sie in der Google Cloud Console die Seite Binärautorisierung auf.

    Zur Binärautorisierung

    In der Console werden Details zur Richtlinie angezeigt.

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Wählen Sie unter Projektstandardregel die Option Alle Images zulassen aus.

gcloud

Um die Standardrichtlinie aufzurufen, exportieren Sie so die YAML-Richtliniendatei:

gcloud container binauthz policy export

Die Datei hat standardmäßig folgenden Inhalt:

globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_ALLOW
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/PROJECT_ID/policy

REST API

Um die Standardrichtlinie anzuzeigen, rufen Sie sie so im JSON-Format ab:

curl \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

Dieser Befehl erzeugt folgende Ausgabe:

{
  "name": "projects/PROJECT_ID/policy",
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_ALLOW",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}

Erzwingungsrichtlinie testen

Sie können die Richtlinie zur Durchsetzung von Richtlinien testen und dazu versuchen, ein Beispiel-Container-Image im Cluster bereitzustellen.

Für diese Kurzanleitung verwenden Sie das Beispiel-Container-Image im Pfad gcr.io/google-samples/hello-app in Container Registry. Dies ist ein von Google erstelltes öffentliches Container-Image, das die "Hello-World"-Beispielanwendung enthält.

Google Cloud Console

So testen Sie die Richtlinie:

  1. Rufen Sie in der Google Cloud Console die GKE-Seite Cluster auf.

    Zu GKE

  2. Klicken Sie auf Bereitstellen.

    Sie werden aufgefordert, Details zum Deployment einzugeben.

  3. Wählen Sie Vorhandenes Container-Image aus.

  4. Geben Sie gcr.io/google-samples/hello-app:1.0 als Pfad für das Container-Image ein.

  5. Klicken Sie auf Weiter.

  6. Geben Sie hello-server in das Feld Name der Anwendung ein.

  7. Klicken Sie auf Bereitstellen.

kubectl

So testen Sie die Richtlinie:

  1. Aktualisieren Sie die lokale kubeconfig-Datei:

    gcloud container clusters get-credentials \
        --zone us-central1-a \
        test-cluster
    

    Damit werden die Anmeldedaten und Endpunktinformationen bereitgestellt, die für den Zugriff auf den Cluster in GKE erforderlich sind.

  2. Stellen Sie das Image bereit:

    kubectl run hello-server --image gcr.io/google-samples/hello-app:1.0 --port 8080
    

Prüfen Sie nun, ob das Deployment von der Binärautorisierung zugelassen wurde.

Google Cloud Console

Rufen Sie in der Google Cloud Console die GKE-Seite Arbeitslasten auf, um zu prüfen, ob das Image bereitgestellt wurde.

Zu GKE

Eine Arbeitslast für das Deployment wird mit einem grünen Symbol angezeigt. Dies weist darauf hin, dass das Image erfolgreich bereitgestellt wurde.

kubectl

So prüfen Sie, ob das Image bereitgestellt wurde:

kubectl get pods

Der Befehl gibt eine Nachricht ähnlich der folgenden aus, die zeigt, dass das Deployment erfolgreich war:

NAME                            READY     STATUS    RESTARTS   AGE
hello-server-579859fb5b-h2k8s   1/1       Running   0          1m

Das Deployment muss für den nächsten Schritt gelöscht werden.

Google Cloud Console

So löschen Sie die Bereitstellung:

  1. Kehren Sie zur GKE-Seite Arbeitslasten in der Google Cloud Console zurück.

    Zu GKE

  2. Wählen Sie die Arbeitslast hello-server aus.

  3. Klicken Sie auf Löschen.

kubectl

So löschen Sie die Bereitstellung:

kubectl delete deployment hello-server

Richtlinie zur Durchsetzung von Richtlinien so konfigurieren, dass keine Images zugelassen werden

Ändern Sie nun die Richtlinie so, dass alle bereitzustellenden Images blockiert statt zugelassen werden.

Google Cloud Console

So ändern Sie die Richtlinie:

  1. Kehren Sie zur Seite Binärautorisierung in der Google Cloud Console zurück.

    Zur Binärautorisierung

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Wählen Sie Disallow all images (Alle Images ablehnen).

  4. Klicken Sie auf Save Policy (Richtlinie speichern).

gcloud

So ändern Sie die Richtlinie:

  1. Exportieren Sie die YAML-Richtliniendatei:

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. Ändern Sie in einem Texteditor evaluationMode von ALWAYS_ALLOW in ALWAYS_DENY.

    Die YAML-Richtliniendatei sollte in etwa so aussehen:

    globalPolicyEvaluationMode: ENABLE
    defaultAdmissionRule:
      evaluationMode: ALWAYS_DENY
      enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
    name: projects/PROJECT_ID/policy
    
  3. Importieren Sie die YAML-Richtliniendatei wieder in die Binärautorisierung:

    gcloud container binauthz policy import /tmp/policy.yaml
    

REST API

So ändern Sie die Richtlinie:

  1. Erstellen Sie eine Textdatei mit der aktualisierten Richtlinie im JSON-Format:

    cat > /tmp/policy.json << EOM
    {
      "name": "projects/${PROJECT_ID}/policy",
      "globalPolicyEvaluationMode": "ENABLE",
      "defaultAdmissionRule": {
        "evaluationMode": "ALWAYS_DENY",
        "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
      }
    }
    EOM
    
  2. Senden Sie die aktualisierte Richtlinie an die REST API:

    curl -X PUT \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
        -H "x-goog-user-project: ${PROJECT_ID}" \
        --data-binary @/tmp/policy.json  \
        "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"
    

Richtlinie noch einmal testen

Testen Sie die Richtlinie noch einmal. Dazu stellen Sie ein Beispiel-Container-Image für den Cluster bereit. Diesmal verhindert die Binärautorisierung, dass das Image bereitgestellt wird.

Google Cloud Console

Stellen Sie das Image bereit:

  1. Rufen Sie in der Google Cloud Console die GKE-Seite Cluster auf.

    Zu GKE

  2. Klicken Sie auf Bereitstellen.

    Sie werden aufgefordert, Details zum Deployment einzugeben.

  3. Wählen Sie Vorhandenes Container-Image aus.

  4. Geben Sie gcr.io/google-samples/hello-app:1.0 als Pfad für das Container-Image ein.

  5. Klicken Sie auf Weiter.

  6. Geben Sie hello-server in das Feld Name der Anwendung ein.

  7. Klicken Sie auf Bereitstellen.

kubectl

Stellen Sie das Image bereit:

kubectl run hello-server --image gcr.io/google-samples/hello-app:1.0 --port 8080

Sie können jetzt prüfen, ob die Richtlinie blockiert wurde.

Google Cloud Console

So prüfen Sie, ob das Image nicht bereitgestellt wurde:

Kehren Sie zur GKE-Seite Arbeitslasten in der Google Cloud Console zurück.

Zu GKE

Die Arbeitslast für das Container-Image wird mit einem roten Symbol angezeigt, das darauf hinweist, dass das Image nicht bereitgestellt werden konnte.

kubectl

Führen Sie den folgenden Befehl aus, um zu prüfen, ob das Image nicht bereitgestellt wurde:

kubectl get pods

Der Befehl gibt die folgende Nachricht aus, dass das Image nicht bereitgestellt wurde:

No resources found.

Sie können weitere Details zum Deployment abrufen:

kubectl get event --template \
'{{range.items}}{{"\033[0;36m"}}{{.reason}}:{{"\033[0m"}}{{.message}}{{"\n"}}{{end}}'

Die Antwort sieht in etwa so aus:

FailedCreate: Error creating: pods POD_NAME is forbidden: admission webhook "imagepolicywebhook.image-policy.k8s.io" denied the request: Image IMAGE_NAME denied by Binary Authorization default admission rule. Denied by always_deny admission rule

In dieser Ausgabe gilt:

  • POD_NAME: der Name des Pods
  • IMAGE_NAME: der Name des Images
  • ATTESTOR_NAME: Der Name des Attestierers.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:

Löschen Sie den in GKE erstellten Cluster:

Console

So löschen Sie den Cluster:

  1. Rufen Sie in der Google Cloud Console die GKE-Seite Cluster auf.

    Zu GKE

  2. Wählen Sie den Cluster test-cluster aus und klicken Sie auf Löschen.

gcloud

So löschen Sie den Cluster:

gcloud container clusters delete \
    --zone=us-central1-a \
    test-cluster

Nächste Schritte