Configura un criterio di Autorizzazione binaria con GKE

Questa guida rapida illustra come configurare e testare una rule in un criterio di Autorizzazione binaria.

In questa guida rapida, visualizzi e configuri la regola predefinita nel criterio. La regola predefinita consente il deployment di tutte le immagini. Esegui il test eseguendo il deployment su un cluster Google Kubernetes Engine (GKE). Imposta quindi la regola predefinita per impedire il deployment di tutte le immagini di eseguire il deployment di un'immagine.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Installa kubectl.

Creare un cluster con l'applicazione di Autorizzazione binaria abilitata

Ora crei un cluster GKE con Autorizzazione binaria. in un bucket in cui è abilitato il controllo delle versioni. Si tratta del cluster in cui vuoi eseguire le immagini container di cui è stato eseguito il deployment.

Autorizzazione binaria funziona con Autopilot o Standard cluster.

Console Google Cloud

I passaggi riportati di seguito configurano un cluster Autopilot.

  1. Nella console Google Cloud, vai a GKE Pagina Cluster Kubernetes:

    Vai a GKE

  2. Fai clic su Crea.

  3. In Crea un cluster Autopilot, procedi nel seguente modo:

    1. Nel campo Nome, inserisci test-cluster.

    2. Nel menu Regione, seleziona us-central1.

    3. Espandi la sezione Impostazioni avanzate.

    4. Fai clic sul link Sicurezza per visualizzare il riquadro Sicurezza.

    5. Nel riquadro Sicurezza, seleziona Attiva Autorizzazione binaria. casella di controllo.

    6. Seleziona Solo applicazione forzata.

    7. Fai clic su Avanti e poi su Avanti: esamina e crea.

    8. Per iniziare a creare il cluster, fai clic su Crea.

gcloud

Esegui gcloud container clusters create con il flag --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE attivo.

gcloud container clusters create \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --zone us-central1-a \
    test-cluster

La creazione di un cluster può richiedere diversi minuti.

Criterio predefinito

Per impostazione predefinita, il criterio di Autorizzazione binaria è configurato in modo da consentire delle immagini container di cui eseguire il deployment.

Console Google Cloud

Per visualizzare il criterio predefinito:

  1. Vai alla pagina Autorizzazione binaria nella console Google Cloud.

    Vai ad Autorizzazione binaria

    La console mostra i dettagli del criterio.

  2. Fai clic su Modifica criterio.

  3. In Regola predefinita del progetto, l'opzione Consenti tutte le immagini è selezionato.

gcloud

Per visualizzare il criterio predefinito, esporta il file YAML del criterio come segue:

gcloud container binauthz policy export

Per impostazione predefinita, il file ha i seguenti contenuti:

globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_ALLOW
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/PROJECT_ID/policy

API REST

Per visualizzare il criterio predefinito, recuperalo in formato JSON come segue:

curl \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

Il comando produce il seguente output:

{
  "name": "projects/PROJECT_ID/policy",
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_ALLOW",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}
.

Testa il criterio di applicazione

Puoi testare il criterio di applicazione tentando di eseguire il deployment di un'immagine container di esempio nel cluster.

Per questa guida rapida, utilizzerai l'immagine container di esempio che si trova nel percorso gcr.io/google-samples/hello-app in Container Registry. Si tratta di un'immagine di container pubblico creata da Google che contiene un'applicazione di esempio "Hello, World!".

Console Google Cloud

Per testare il criterio:

  1. Vai alla pagina Cluster di GKE nella console Google Cloud.

    Vai a GKE

  2. Fai clic su Esegui il deployment.

    La console ti chiede di inserire i dettagli del deployment.

  3. Seleziona Immagine container esistente.

  4. Inserisci gcr.io/google-samples/hello-app:1.0 come percorso dell'immagine container.

  5. Fai clic su Continua.

  6. Inserisci hello-server nel campo Nome applicazione.

  7. Fai clic su Esegui il deployment.

kubectl

Per testare il criterio:

  1. Aggiorna il file kubeconfig locale:

    gcloud container clusters get-credentials \
        --zone us-central1-a \
        test-cluster
    

    Vengono fornite le credenziali e le informazioni sugli endpoint necessarie per accedere al cluster in GKE.

  2. Esegui il deployment dell'immagine:

    kubectl run hello-server --image gcr.io/google-samples/hello-app:1.0 --port 8080
    

Ora verifica che il deployment sia consentito da Autorizzazione binaria.

Console Google Cloud

Per verificare che il deployment dell'immagine sia stato eseguito, vai a GKE Pagina Carichi di lavoro nella console Google Cloud.

Vai a GKE

Un carico di lavoro del deployment viene visualizzato con un'icona verde che indica che il deployment dell'immagine è stato eseguito correttamente.

kubectl

Per verificare che l'immagine sia stata dispiata:

kubectl get pods

Il comando stampa un messaggio simile al seguente, che indica che il deployment è andato a buon fine:

NAME                            READY     STATUS    RESTARTS   AGE
hello-server-579859fb5b-h2k8s   1/1       Running   0          1m

Assicurati di eliminare il deployment per poter andare al passaggio successivo:

Console Google Cloud

Per eliminare il deployment, segui questi passaggi:

  1. Torna alla pagina Carichi di lavoro di GKE nella console Google Cloud.

    Vai a GKE

  2. Seleziona il carico di lavoro hello-server.

  3. Fai clic su Elimina.

kubectl

Per eliminare il deployment:

kubectl delete deployment hello-server

Configura il criterio di applicazione in modo da non consentire tutte le immagini

Ora modifica il criterio in modo da bloccare il deployment invece di consentire il deployment di tutte le immagini.

Console Google Cloud

Per modificare il criterio:

  1. Torna alla pagina Autorizzazione binaria nella console Google Cloud.

    Vai ad Autorizzazione binaria

  2. Fai clic su Modifica criterio.

  3. Seleziona Non consentire tutte le immagini.

  4. Fai clic su Save Policy (Salva criterio).

gcloud

Per modificare il criterio:

  1. Esporta il file YAML del criterio:

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. In un editor di testo, cambia evaluationMode da ALWAYS_ALLOW a ALWAYS_DENY.

    Il file YAML dei criteri dovrebbe avere il seguente aspetto:

    globalPolicyEvaluationMode: ENABLE
    defaultAdmissionRule:
      evaluationMode: ALWAYS_DENY
      enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
    name: projects/PROJECT_ID/policy
    
  3. Importa di nuovo il file YAML dei criteri in Autorizzazione binaria:

    gcloud container binauthz policy import /tmp/policy.yaml
    

API REST

Per modificare il criterio:

  1. Crea un file di testo con il criterio aggiornato in formato JSON:

    cat > /tmp/policy.json << EOM
    {
      "name": "projects/${PROJECT_ID}/policy",
      "globalPolicyEvaluationMode": "ENABLE",
      "defaultAdmissionRule": {
        "evaluationMode": "ALWAYS_DENY",
        "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
      }
    }
    EOM
    
  2. Invia il criterio aggiornato all'API REST:

    curl -X PUT \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
        -H "x-goog-user-project: ${PROJECT_ID}" \
        --data-binary @/tmp/policy.json  \
        "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"
    

Riprovare il criterio

Di nuovo, testa il criterio eseguendo il deployment di un'immagine container di esempio nel cluster. Questa volta, Autorizzazione binaria blocca il deployment dell'immagine.

Console Google Cloud

Esegui il deployment dell'immagine:

  1. Vai alla pagina Cluster di GKE nella console Google Cloud.

    Vai a GKE

  2. Fai clic su Esegui il deployment.

    La console ti chiede di inserire i dettagli del deployment.

  3. Seleziona Immagine container esistente.

  4. Inserisci gcr.io/google-samples/hello-app:1.0 come percorso dell'immagine container.

  5. Fai clic su Continua.

  6. Inserisci hello-server nel campo Nome applicazione.

  7. Fai clic su Esegui il deployment.

kubectl

Esegui il deployment dell'immagine:

kubectl run hello-server --image gcr.io/google-samples/hello-app:1.0 --port 8080

Ora puoi verificare che il criterio sia stato bloccato:

Console Google Cloud

Per verificare che il deployment dell'immagine non sia stato eseguito, segui questi passaggi:

Torna alla pagina Carichi di lavoro di GKE nella console Google Cloud.

Vai a GKE

Il carico di lavoro per l'immagine container viene visualizzato con un'icona rossa che indica che non è stato possibile eseguire il deployment dell'immagine.

kubectl

Per verificare che il deployment dell'immagine non sia stato eseguito, esegui questo comando:

kubectl get pods

Il comando stampa il seguente messaggio, che indica che l'immagine non è stata dispiattata:

No resources found.

Puoi trovare ulteriori dettagli sul deployment:

kubectl get event --template \
'{{range.items}}{{"\033[0;36m"}}{{.reason}}:{{"\033[0m"}}{{.message}}{{"\n"}}{{end}}'

Viene visualizzata una risposta simile alla seguente:

FailedCreate: Error creating: pods POD_NAME is forbidden: admission webhook "imagepolicywebhook.image-policy.k8s.io" denied the request: Image IMAGE_NAME denied by Binary Authorization default admission rule. Denied by always_deny admission rule

In questo output:

  • POD_NAME: il nome del pod.
  • IMAGE_NAME: il nome dell'immagine.
  • ATTESTOR_NAME: il nome dell'attestatore.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

Elimina il cluster che hai creato in GKE:

Console

Per eliminare il cluster:

  1. Vai alla pagina Cluster di GKE nella console Google Cloud.

    Vai a GKE

  2. Seleziona il cluster test-cluster e fai clic su Elimina.

gcloud

Per eliminare il cluster:

gcloud container clusters delete \
    --zone=us-central1-a \
    test-cluster

Passaggi successivi