部署容器 (GKE)

本页面介绍了如何将容器映像部署到启用了 Binary Authorization 的 Google Kubernetes Engine (GKE) 集群。用于部署此类映像的 kubectl 命令与用于将映像部署到未启用 Binary Authorization 的集群的命令相同。

准备工作

确保您已在项目中启用了 Binary Authorization API，并且拥有启用了 Binary Authorization 的 GKE 集群。请参阅在 Google Kubernetes Engine 上进行设置或在 Anthos clusters on VMware 上进行设置。

安装 kubectl，以与 GKE 进行交互。

配置 kubectl

您必须为 kubectl 安装更新本地 kubeconfig 文件。这可以提供访问 GKE 中的集群所需的凭据和端点信息。

如需配置 kubectl，请运行以下 gcloud 命令：

gcloud container clusters get-credentials \
    --zone ZONE \
    CLUSTER_NAME

请替换以下内容：

• ZONE：运行集群的 GKE 可用区的名称，例如 us-central1-a
• CLUSTER_NAME：集群的名称

部署容器映像

按如下方式部署容器映像：

1. 配置环境变量：

   POD_NAME=POD_NAME
   IMAGE_PATH=IMAGE_PATH
   IMAGE_DIGEST=IMAGE_DIGEST
   

   请替换以下内容：

   • POD_NAME：您要用于 GKE 工作负载的名称
   • IMAGE_PATH：Artifact Registry、Container Registry 或其他注册表中的映像路径。

   • IMAGE_DIGEST：映像清单的摘要。示例如下：

     • Artifact Registry：
       • 路径：us-docker.pkg.dev/google-samples/containers/gke/hello-app
       • 摘要：sha256:37e5287945774f27b418ce567cd77f4bbc9ef44a1bcd1a2312369f31f9cce567
     • Container Registry：
       • 路径：gcr.io/google-samples/hello-app
       • 摘要：sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4

     如需了解如何在 Artifact Registry 中获取映像摘要，请参阅管理映像；如需查看 Container Registry 中的映像，请参阅列出映像版本。

2. 使用 kubectl run 命令部署您的映像。

   您必须使用摘要（而非 1.0 或 latest 等标记）部署映像，因为 Binary Authorization 将使用映像路径和摘要来查找证明。

   如需部署映像，请运行以下 kubectl 命令：

   kubectl run ${POD_NAME} \
       --image ${IMAGE_PATH}@${IMAGE_DIGEST}
   

   现在，验证 Binary Authorization 是否会阻止部署：

   kubectl get pods
   

   系统将列出您的 Pod。

应急开启

GKE 用户：如果 GKE 出于任何原因无法访问 Binary Authorization 服务器，强制执行过程将发生开启故障。例如，如果您在部署容器映像时因网络中断而无法访问 Binary Authorization Enforcer，则即使 Enforcer 可能已阻止该映像，但系统仍会完成该映像的部署。如果启用了 Cloud Audit Logs，则日志条目会指示在发生开启故障条件下部署的映像。

部署违反政策的映像

Binary Authorization 支持一项称为 Breakglass 的功能；如果启用该功能，则即使映像违反了政策，也允许对该映像进行部署。

如需了解详情，请参阅使用 Breakglass。

清理

如需进行清理，请通过执行以下命令删除 Pod：

  kubectl delete pod ${POD_NAME}
  

后续步骤

• 了解试运行模式。
• 了解如何使用持续验证。
• 了解如何在 Kubernetes 清单中使用映像摘要。