以前の継続的検証のサポート終了と廃止

Google Cloud Platform の利用規約（「サービスの終了」セクション）では、 Binary Authorizationに適用される非推奨ポリシーが定義されています。非推奨ポリシーは、こちらに記載されているサービス、機能、プロダクトにのみ適用されます。

サービス、機能、プロダクトが正式に非推奨になっても、利用規約で定義されている期間まではサービスを継続して利用できます。この期間をすぎると、サービスは提供終了となります。

Binary Authorization は、GKE のプロジェクトシングルトンポリシーによる以前の継続的検証（以前の CV）のサポートを終了します。

2024 年 4 月 15 日以降、新しいプロジェクトで Google Kubernetes Engine（GKE）の以前の CV を有効にすることはできません。
以前の CV は、2025 年 5 月 1 日まで、すでに有効になっている既存のプロジェクトのプロジェクトシングルトンポリシーを介して GKE Pod をモニタリングし続けます。2025 年 5 月 1 日以降、以前の CV は Pod をモニタリングしなくなります。また、プロジェクトシングルトンの Binary Authorization ポリシーを遵守していない Pod イメージに対して Cloud Logging エントリが生成されなくなります。

代替: チェックベースのプラットフォームポリシーによる継続的検証（CV）

チェックベースのプラットフォームポリシーでは、証明書のサポートに加えて、Pod に関連付けられたコンテナイメージのメタデータをモニタリングして、潜在的なセキュリティ問題を軽減できます。CV チェックベースのポリシーでは、次のチェックが提供されます。

以前の継続的検証と同様に、チェックベースのポリシーを使用した CV でも、遵守していないイメージを含む Pod が Logging に記録されます。

以前の継続的検証（以前の CV）を使用している場合は、移行をご覧ください。

チェックベースのプラットフォームポリシーで CV を使用する方法について詳しくは、継続的検証の概要をご覧ください。

以前の CV プロジェクトシングルトンポリシーから同等のチェックベースのプラットフォームポリシーに移行するには、次の操作を行います。

ALWAYS_ALLOW プロジェクトシングルトンポリシーの場合は、checkSet ブロックのないチェックベースのプラットフォームポリシーを作成します。
ALWAYS_DENY プロジェクトシングルトンポリシーの場合は、alwaysDeny チェックを含む単一の checkSet ブロックを使用して、チェックベースのプラットフォームポリシーを作成します。
証明書を必要とするプロジェクトシングルトンポリシーの場合は、チェックベースのポリシーを 1 つ作成し、プロジェクトシングルトンポリシーの認証者ごとに、チェックベースのポリシーに SimpleSigningAttestationCheck を 1 つ追加します。同じ鍵ペアを使用すると、チェックは既存の証明書を引き続き使用し、有効な証明書がない Pod イメージのみをログに記録します。

チェックベースのプラットフォームポリシーのスコープは、Google Cloud プロジェクトではなく GKE クラスタです。チェックベースのプラットフォームポリシーを作成後は、そのポリシーを 1 つ以上のクラスタに適用できます。

クラスタでチェックベースのプラットフォームポリシーを使用して CV を有効にするには、クラスタの作成または更新プロセス中にクラスタの Binary Authorization 設定を構成する必要があります。