Richtlinie mit der Console konfigurieren

Auf dieser Seite finden Sie eine Anleitung zum Konfigurieren einer Richtlinie für die Binärautorisierung mithilfe der Google Cloud Console. Alternativ können Sie diese Aufgaben auch mit gcloud-Befehlen in der Befehlszeile oder mit der REST API ausführen. Dieser Schritt ist Teil der Einrichtung der Binärautorisierung.

Übersicht

Eine Richtlinie ist ein Satz von Regeln, die das Deployment eines oder mehrerer Container-Images steuern. Zum Konfigurieren einer Richtlinie gehen Sie so vor:

  • Legen Sie die Standardregel fest.
  • Fügen Sie beliebige clusterspezifische Regeln hinzu (optional).
  • Fügen Sie zusätzliche, ausgenommene Images hinzu (optional).

Die meisten Richtlinien prüfen, ob alle erforderlichen Attestierer bestätigt haben, dass ein Container-Image für das Deployment verfügbar ist. In diesem Fall müssen Sie beim Konfigurieren der Richtlinie auch Attestierer erstellen.

Standardregel festlegen

Eine Regel ist Bestandteil einer Richtlinie, die Einschränkungen für Container-Images definiert. Nur Container-Images, die diesen Einschränkungen genügen, können bereitgestellt werden. Die Standardregel definiert Einschränkungen, die für alle nicht ausgenommenen Container-Images gelten, mit Ausnahme derjenigen, die eine eigene clusterspezifische Regel haben. Jede Richtlinie enthält eine Standardregel.

So legen Sie die Standardregel fest:

  1. Rufen Sie in der Google Cloud Console die Seite "Binärautorisierung" auf.

    Zur Seite "Binärautorisierung"

  2. Klicken Sie auf Richtlinie bearbeiten.

    Richtlinien-Tab mit der Standardregel

  3. Wählen Sie den Auswertungsmodus für die Standardregel aus. Damit wird der Typ der Einschränkung festgelegt, den die Binärautorisierung für die Regel erzwingt.

    Option zur Auswahl eines Standardregeltyps

    Folgende Optionen sind verfügbar:

    • Alle Images zulassen
    • Deny All Images
    • Allow Only Images That Have Been Approved By the Following Attestors
  4. Wenn Sie Allow Only Images That Have Been Approved By the Following Attestors ausgewählt haben, klicken Sie auf Attestierer hinzufügen, um Ihrem Projekt Attestierer hinzuzufügen.

    Option zur Auswahl eines Standardregeltyps

  5. Geben Sie den vollständig qualifizierten Attestierernamen in das Feld Name des Attestierers ein. Der Name hat das Format projects/PROJECT_ID/attestors/ATTESTOR_NAME.

  6. Klicken Sie auf Add Attestor(s).

  7. Wenn Sie die Richtlinie im Probelaufmodus verwenden möchten, wählen Sie Probelaufmodus aus.

    Der Probelaufmodus ist ein Erzwingungsmodus in einer Richtlinie, der das Deployment von nicht konformen Images ermöglicht. Dabei werden Details zum Deployment in das Audit-Log in Cloud Logging geschrieben. Im Probelaufmodus können Sie eine Richtlinie in Ihrer Produktionsumgebung testen, bevor sie wirksam wird.

  8. Klicken Sie auf Richtlinie speichern.

Clusterspezifische Regeln festlegen (optional)

Ein Cluster kann auch eine oder mehrere clusterspezifische Regeln enthalten. Diese Art von Regel gilt für Container-Images, die nur in bestimmten Google Kubernetes Engine-Clustern (GKE) bereitgestellt werden sollen. Clusterspezifische Regeln sind optionaler Bestandteil einer Richtlinie.

So fügen Sie eine clusterspezifische Regel hinzu:

  1. Rufen Sie in der Google Cloud Console die Seite "Binärautorisierung" auf.

    Zur Seite "Binärautorisierung"

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Maximieren Sie unter Clusterspezifische Regeln den Abschnitt Regeln.

    Konfiguration von clusterspezifischen Regeln

  4. Geben Sie im Feld Cluster-Ressourcen-ID die Ressourcen-ID für den Cluster ein. Dies ist die Kennung für den Cluster im Format location.name (z. B. us-central1-a.test-cluster).

    Fenster für clusterspezifische Regeln

  5. Wählen Sie wie bei der Standardregel oben aus den angezeigten Optionen einen Auswertungsmodus für die Regel aus:

    • Alle Images zulassen
    • Deny All Images
    • Allow Only Images That Have Been Approved By the Following Attestors
  6. Wenn Sie Allow Only Images That Have Been Approved By the Following Attestors ausgewählt haben, klicken Sie auf Attestierer hinzufügen, um Ihrem Projekt Attestierer hinzuzufügen.

    Option zur Auswahl eines Standardregeltyps

  7. Geben Sie den vollständig qualifizierten Attestierernamen in das Feld Name des Attestierers ein. Der Name hat das Format projects/PROJECT_ID/attestors/ATTESTOR_NAME.

  8. Klicken Sie auf Add Attestor(s).

  9. Wenn Sie die Richtlinie im Probelaufmodus verwenden möchten, wählen Sie Probelaufmodus aus.

    Der Probelaufmodus ist ein Erzwingungsmodus in einer Richtlinie, der das Deployment von nicht konformen Images ermöglicht. Dabei werden Details zum Deployment in das Audit-Log in Cloud Logging geschrieben. Im Probelaufmodus können Sie eine Richtlinie in Ihrer Produktionsumgebung testen, bevor sie wirksam wird.

  10. Klicken Sie auf Richtlinie speichern.

Ausgenommene Images verwalten

Ein ausgenommenes Image ist ein Container-Image, das von den Richtlinienregeln ausgenommen ist. Die Binärautorisierung lässt das Deployment von ausgenommenen Images immer zu.

Jede Richtlinie kann eine Zulassungsliste von ausgenommenen Images haben, die durch ihren Registrierungspfad angegeben werden. Dieser Pfad kann ein Speicherort in Container Registry oder einer anderen Container-Image-Registry sein. Diese Zulassungsliste gilt zusätzlich zu den Images, die im globalen Richtlinienbewertungsmodus aktiviert wurden, falls vorhanden.

Trust all Google-maintained system images ist eine Richtlinieneinstellung, bei der die Binärautorisierung eine Liste der von Google verwalteten Systemimages von der weiteren Richtlinienauswertung ausschließt. Wenn diese Einstellung aktiviert ist, werden für GKE erforderliche Images nicht durch die Richtlinienerzwingung blockiert. Diese Einstellung wird vor den anderen Richtlinieneinstellungen ausgewertet.

So schließen Sie alle von Google verwalteten Images von der Erzwingung durch die Binärautorisierung aus:

  1. Rufen Sie in der Google Cloud Console die Seite "Binärautorisierung" auf.

    Zur Seite "Binärautorisierung"

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Wählen Sie im Abschnitt Images, die von den Bereitstellungsregeln ausgenommen sind die Option Allen von Google bereitgestellten Systemimages vertrauen aus.

    Liste der ausgenommenen Images

  4. Wenn Sie zusätzliche ausgenommene Images manuell angeben möchten, maximieren Sie den Abschnitt Image-Pfade.

    Klicken Sie dann auf Image-Pfad hinzufügen und geben Sie den Registry-Pfad für jedes weitere Image ein, für das Sie eine Ausnahme festlegen möchten.

  5. Klicken Sie auf Richtlinie speichern.

Weitere Informationen