Como configurar uma política usando o Console

Nesta página, você encontra instruções para configurar uma política de autorização binária usando o Console do Google Cloud. Como alternativa, você também pode executar essas tarefas usando comandos gcloud na linha de comando ou usando a API REST. Esta etapa faz parte da configuração da autorização binária.

Visão geral

Uma política é um conjunto de regras que regem a implantação de uma ou mais imagens de contêiner. Ao configurar uma política, você:

  • Definir a regra padrão
  • Adicionar regras específicas do cluster (opcional)
  • Adicione outras imagens isentas (opcional)

A maioria das políticas verifica se todos os atestadores necessários verificaram se uma imagem de contêiner está pronta para ser implantada. Nesse caso, você também precisa criar atestadores ao configurar a política.

Definir a regra padrão

Uma regra é a parte de uma política que define as restrições que as imagens de contêiner precisam passar antes de serem implantadas. A regra padrão define restrições que se aplicam a todas as imagens de contêiner não isentas, exceto as que têm propriedades próprias específicas do cluster regra. Cada política tem uma regra padrão.

Para definir a regra padrão:

  1. Acesse a página "Autorização binária" no Console do Google Cloud.

    Acessar a página "Autorização binária"

  2. Clique em Editar política.

    Captura de tela da guia

  3. Selecione o modo de avaliação da regra padrão. Isso especifica o tipo de restrição que a autorização binária aplica à regra.

    Captura de tela da opção de escolher um tipo de regra padrão

    As opções são:

    • Permitir todas as imagens
    • Negar todas as imagens
    • Permitir somente imagens que foram aprovadas pelos seguintes atestadores
  4. Se você selecionou Permitir somente imagens que tenham sido aprovadas pelos seguintes atestadores, clique em Adicionar atestadores para adicioná-las ao seu projeto.

    Captura de tela da opção de escolher um tipo de regra padrão

  5. Digite o nome do atestador totalmente qualificado no campo Nome do atestador. O nome tem o formato projects/PROJECT_ID/attestors/ATTESTOR_NAME.

  6. Clique em Adicionar atestadores.

  7. Se você quiser usar a política em modo de simulação, selecione Dry Run Mode.

    O modo de simulação é um modo de aplicação em uma política que permite a implantação de imagens não consecutivas, mas grava detalhes sobre a implantação na registro de auditoria em Cloud Logging para criar um anexo da VLAN de monitoramento. O modo de simulação permite testar uma política no ambiente de produção antes que ela entre em vigor.

  8. Clique em Salvar política.

Definir regras específicas do cluster (opcional)

Um cluster também pode ter uma ou mais regras específicas de cluster. Esse tipo de regra se aplica a imagens de contêiner que serão implantadas apenas em clusters específicos do Google Kubernetes Engine (GKE). As regras específicas do cluster são uma parte opcional de uma política.

Para adicionar uma regra específica do cluster:

  1. Acesse a página "Autorização binária" no Console do Google Cloud.

    Acessar a página "Autorização binária"

  2. Clique em Editar política.

  3. Expanda a seção Regras em Regras específicas do cluster.

    Captura de tela da configuração de regras específica do cluster

  4. Digite o código do recurso no cluster no campo Código do recurso do cluster. Esse é o identificador do cluster no formato location.name (por exemplo, us-central1-a.test-cluster).

    Captura de tela da janela

  5. Assim como na regra padrão acima, selecione um modo de avaliação para a regra entre as opções apresentadas:

    • Permitir todas as imagens
    • Negar todas as imagens
    • Permitir somente imagens que foram aprovadas pelos seguintes atestadores
  6. Se você selecionou Permitir somente imagens que tenham sido aprovadas pelos seguintes atestadores, clique em Adicionar atestadores para adicioná-las ao seu projeto.

    Captura de tela da opção de escolher um tipo de regra padrão

  7. Digite o nome do atestador totalmente qualificado no campo Nome do atestador. O nome tem o formato projects/PROJECT_ID/attestors/ATTESTOR_NAME.

  8. Clique em Adicionar atestadores.

  9. Se você quiser usar a política em modo de simulação, selecione Dry Run Mode.

    O modo de simulação é um modo de aplicação em uma política que permite a implantação de imagens não consecutivas, mas grava detalhes sobre a implantação na registro de auditoria em Cloud Logging para criar um anexo da VLAN de monitoramento. O modo de simulação permite testar uma política no ambiente de produção antes que ela entre em vigor.

  10. Clique em Salvar política.

Gerenciar imagens isentas

Uma imagem isenta é uma imagem de contêiner isenta de regras de política. A autorização binária sempre permite a implantação de imagens isentas.

Cada política pode ter uma lista de permissões de imagens isentas especificadas pelo caminho do registro. Esse caminho pode ser um local no Container Registry ou em outro registro de imagem de contêiner. Essa lista de permissões é adicionada às imagens isentas pelo modo de avaliação de política global, se ativado.

Confiar em todas as imagens do sistema mantidas pelo Google é uma configuração de política que faz com que a autorização binária isente uma lista de imagens do sistema mantidas pelo Google de outras avaliações de política. Quando essa configuração está ativada, as imagens exigidas pelo GKE não são bloqueadas pela aplicação da política. Essa configuração é avaliada antes das outras configurações de política.

Para isentar todas as imagens mantidas pelo Google da aplicação pela autorização binária:

  1. Acesse a página "Autorização binária" no Console do Google Cloud.

    Acessar a página "Autorização binária"

  2. Clique em Editar política.

  3. Selecione Confiar em todas as imagens do sistema fornecidas pelo Google na seção Imagens isentas de regras de implantação.

    Captura de tela da lista de imagens isentas

  4. Para especificar manualmente imagens isentas adicionais, expanda a seção Caminhos de imagens.

    Em seguida, clique em Adicionar caminho da imagem e insira o caminho do registro para qualquer imagem adicional que você queira isentar.

  5. Clique em Salvar política.

A seguir