Ritiro e chiusura della convalida continua legacy

I Termini di servizio della piattaforma Google Cloud (sezione 1.4(d), "Interruzione dei servizi") definiscono le norme relative al ritiro che si applicano a Binary Authorization. Le norme sul ritiro si applicano solo ai servizi, alle funzionalità o ai prodotti elencati al loro interno.

Una volta ritirato ufficialmente, un servizio, una funzionalità o un prodotto continuerà a essere disponibile per almeno il periodo di tempo definito nei Termini di servizio. Al termine di questo periodo di tempo, è prevista la disattivazione del servizio.

Autorizzazione binaria non supporterà più la convalida continua legacy (CV legacy) con criteri singleton del progetto per GKE.

  • A partire dal 15 aprile 2024, non potrai abilitare i CV legacy per Google Kubernetes Engine (GKE) nei nuovi progetti.
  • Il CV legacy continuerà a monitorare Pod GKE tramite criteri di singolo progetto per gli account i progetti per i quali è già abilitato fino al 1° maggio 2025. Dopo il 1° maggio 2025, la versione precedente di CV non monitorerà più i pod e le voci di Cloud Logging non verranno più prodotte per le immagini dei pod che non sono conformi alle norme di autorizzazione binaria del progetto-singleton.

Sostituzione: convalida continua (CV) con norme della piattaforma basate su controlli

Monitora i pod utilizzando la convalida continua (CV) con criteri della piattaforma basati su controlli.

Oltre al supporto per le attestazioni, i criteri della piattaforma basati su controlli ti consentono monitorare i metadati delle immagini container associate ai tuoi pod, e ridurre i potenziali problemi di sicurezza. I criteri basati sul controllo del CV prevedono controlli che includono quanto segue:

Come per la convalida continua precedente, la convalida continua con criteri basati su controlli registra anche i pod con immagini non conformi in Logging.

Se utilizzi la convalida continua legacy (CV legacy), consulta Migrazione.

Per saperne di più su come utilizzare la convalida continua con le norme della piattaforma basate su controlli, consulta la Panoramica della convalida continua.

Migrazione

Per eseguire la migrazione da un criterio project-singleton del CV precedente a un criterio della piattaforma basato su controlli equivalente:

  • Per un criterio di singolo progetto ALWAYS_ALLOW, crea una piattaforma basata su controlli criterio senza alcun blocco checkSet.
  • Per un criterio di singolo progetto ALWAYS_DENY, crea una piattaforma basata su controlli criterio con un singolo blocco checkSet che presenta un controllo alwaysDeny.
  • Per un criterio progetto singolo che richiede attestazioni, crea un singolo criterio basato su controlli e, per ogni attestatore nel criterio progetto singolo, aggiungi un SimpleSigningAttestationCheck al criterio basato su controlli. Utilizzando la stessa coppia di chiavi, il controllo funzionano con le attestazioni esistenti e registra solo le immagini dei pod che non hanno attestazioni valide.

I criteri della piattaforma basati sui controlli hanno come ambito un cluster GKE, rispetto a un progetto Google Cloud. Dopo aver creato una piattaforma basata su controlli puoi applicarlo a uno o più cluster.

Per abilitare la conversione continua con criteri della piattaforma basati su controllo su un cluster, le impostazioni di Autorizzazione binaria del cluster devono essere configurate durante il processo di creazione o aggiornamento del cluster.