Os Termos de Utilização da Google Cloud Platform (secção "Descontinuação de Serviços") definem a política de descontinuação aplicável ao Binary Authorization. A política de descontinuação aplica-se apenas aos serviços, às funcionalidades ou aos produtos aí indicados.
Após a descontinuação oficial de um serviço, uma funcionalidade ou um produto, este continua disponível durante, pelo menos, o período definido nos Termos de Utilização. Após este período, o serviço está agendado para encerramento.
A autorização binária vai terminar o suporte para a validação contínua antiga (CV antiga) com políticas de singleton de projeto para o GKE.
- A partir de 15 de abril de 2024, não pode ativar a CV antiga para o Google Kubernetes Engine (GKE) em novos projetos.
- O CV antigo vai continuar a monitorizar os seus pods do GKE através de políticas de projeto único para projetos existentes para os quais já está ativado até 1 de maio de 2025. Após 1 de maio de 2025, o CV antigo vai deixar de monitorizar os seus pods e as entradas do Cloud Logging vão deixar de ser produzidas para imagens de pods que não estejam em conformidade com a política de autorização binária de instância única do projeto.
Substituição: validação contínua (CV) com políticas da plataforma baseadas em verificações
Monitorize os seus pods através da validação contínua (CV) com políticas da plataforma baseadas em verificações.
Além do apoio técnico para atestações, as políticas da plataforma baseadas em verificações permitem-lhe monitorizar os metadados das imagens de contentores associadas aos seus pods para ajudar a mitigar potenciais problemas de segurança. As políticas baseadas na verificação de CV oferecem verificações que incluem o seguinte:
- Verificação de vulnerabilidades: a imagem é verificada quanto a vulnerabilidades de segurança que se encontram num nível de gravidade que define.
- Verificação do Sigstore: a imagem tem atestações assinadas pelo Sigstore.
- Verificação SLSA: a imagem foi criada a partir da origem num diretório fidedigno e por um criador fidedigno.
- Verificação de diretório fidedigno: A imagem tem de residir num diretório fidedigno num repositório de imagens fidedigno.
Tal como a validação contínua antiga, a VC com políticas baseadas em verificações também regista os pods com imagens não conformes no registo.
Se usar a validação contínua (CV) antiga, consulte o artigo Migração.
Para mais informações sobre como usar a CV com políticas da plataforma baseadas em verificações, consulte a vista geral da validação contínua.
Migração
Para migrar de uma política de singleton do projeto de CV antiga para uma política de plataforma baseada em verificações equivalente, faça o seguinte:
- Para uma política de singleton de projeto
ALWAYS_ALLOW, crie uma política de plataforma baseada em verificações sem qualquer bloqueiocheckSet. - Para uma política de singleton de projeto
ALWAYS_DENY, crie uma política de plataforma baseada em verificações com um único blococheckSetque tenha uma verificaçãoalwaysDeny. - Para uma política de singleton de projeto que exija atestações, crie uma política baseada em verificações única e, para cada atestador na política de singleton de projeto, adicione uma SimpleSigningAttestationCheck à política baseada em verificações. Ao usar o mesmo par de chaves, a verificação continua a funcionar com as suas atestações existentes e regista apenas imagens de pods que não tenham atestações válidas.
As políticas da plataforma baseadas em verificações têm âmbito num cluster do GKE e não num Google Cloud projeto. Depois de criar uma política baseada em verificações, pode aplicá-la a um ou mais clusters.
Para ativar a CV com políticas da plataforma baseadas em verificações num cluster, as definições de autorização binária do cluster têm de ser configuradas durante o processo de criação ou atualização do cluster.