Halaman ini diterjemahkan oleh Cloud Translation API.

Penghentian dan penghentian penggunaan validasi berkelanjutan lama

Persyaratan Layanan Google Cloud Platform (pasal 1.4(d), "Penghentian Layanan") menetapkan kebijakan penghentian layanan yang berlaku untuk Binary Authorization. Kebijakan penghentian layanan hanya berlaku untuk layanan, fitur, atau produk yang tercantum di dalamnya.

Setelah layanan, fitur, atau produk secara resmi tidak digunakan lagi, layanan, fitur, atau produk tersebut akan terus tersedia setidaknya selama jangka waktu yang ditentukan dalam Persyaratan Layanan. Setelah jangka waktu ini, layanan akan dijadwalkan untuk dimatikan.

Otorisasi Biner mengakhiri dukungan untuk validasi berkelanjutan lama (CV lama) dengan kebijakan singleton project untuk GKE.

Mulai 15 April 2024, Anda tidak dapat mengaktifkan CV lama untuk Google Kubernetes Engine (GKE) pada project baru.
CV Lama akan terus memantau Pod GKE Anda melalui kebijakan singleton project untuk project yang sudah ada dan telah diaktifkan hingga 1 Mei 2025. Setelah 1 Mei 2025, CV lama tidak akan lagi memantau Pod Anda, dan entri Cloud Logging tidak akan lagi dihasilkan untuk image Pod yang tidak sesuai dengan kebijakan Otorisasi Biner singleton project.

Penggantian: Validasi berkelanjutan (CV) dengan kebijakan platform berbasis pemeriksaan

Pantau Pod Anda menggunakan validasi berkelanjutan (CV) dengan kebijakan platform berbasis pemeriksaan.

Selain dukungan untuk pengesahan, kebijakan platform berbasis pemeriksaan memungkinkan Anda memantau metadata image container yang terkait dengan Pod untuk membantu Anda memitigasi potensi masalah keamanan. Kebijakan berbasis pemeriksaan CV menyediakan pemeriksaan yang mencakup hal berikut:

Pemeriksaan kerentanan: Image diperiksa untuk menemukan kerentanan keamanan yang berada pada tingkat keparahan yang Anda tentukan.
Pemeriksaan sigstore: Image memiliki atestasi yang ditandatangani oleh sigstore.
Pemeriksaan SLSA: Image dibuat dari sumber di direktori tepercaya dan oleh builder tepercaya.
Pemeriksaan direktori tepercaya: Image harus berada di direktori tepercaya dalam repositori image tepercaya.

Seperti validasi berkelanjutan lama, CV dengan kebijakan berbasis pemeriksaan juga mencatat ke dalam log Pod dengan image yang tidak sesuai ke Logging.

Jika Anda menggunakan validasi berkelanjutan lama (CV lama), lihat Migrasi.

Untuk mengetahui informasi selengkapnya tentang cara menggunakan CV dengan kebijakan platform berbasis pemeriksaan, lihat Ringkasan validasi berkelanjutan.

Migrasi

Untuk bermigrasi dari kebijakan singleton project CV lama ke kebijakan platform berbasis pemeriksaan yang setara, lakukan tindakan berikut:

Untuk kebijakan singleton project ALWAYS_ALLOW, buat kebijakan platform berbasis pemeriksaan tanpa blok checkSet.
Untuk kebijakan singleton project ALWAYS_DENY, buat kebijakan platform berbasis pemeriksaan dengan satu blok checkSet yang memiliki pemeriksaan alwaysDeny.
Untuk kebijakan singleton project yang memerlukan pengesahan, buat satu kebijakan berbasis pemeriksaan, dan untuk setiap pengesah dalam kebijakan singleton project, tambahkan satu SimpleSigningAttestationCheck ke kebijakan berbasis pemeriksaan. Dengan menggunakan pasangan kunci yang sama, pemeriksaan akan terus berfungsi dengan pengesahan yang ada, dan hanya mencatat image Pod yang tidak memiliki pengesahan yang valid.

Kebijakan platform berbasis pemeriksaan dicakup untuk cluster GKE, bukan project Google Cloud. Setelah membuat kebijakan platform berbasis pemeriksaan, Anda dapat menerapkan kebijakan tersebut ke satu atau beberapa cluster.

Untuk mengaktifkan CV dengan kebijakan platform berbasis pemeriksaan di cluster, setelan Otorisasi Biner cluster harus dikonfigurasi selama proses pembuatan atau update cluster.