旧版持续验证的弃用和关停事宜

The Google Cloud Platform 服务条款（第 1.4(d) 条，“服务终止”）定义了适用于 Binary Authorization的弃用政策。该弃用政策仅适用于其中列出的服务、功能或产品。

在某种服务、功能或产品正式弃用后，至少在服务条款中所规定的时间段内仍可继续使用。超过该时间段之后，相应服务将按计划关停。

Binary Authorization 将停止为 GKE 提供对使用项目单例政策的旧版持续验证（旧版 CV）的支持。

• 自 2024 年 4 月 15 日起，您无法在新项目上为 Google Kubernetes Engine (GKE) 启用旧版 CV。
• 在 2025 年 5 月 1 日之前，旧版 CV 将继续通过项目单例政策为现有项目（已启用旧版 CV）监控您的 GKE Pod。2025 年 5 月 1 日之后，旧版 CV 将不再监控您的 Pod，并且将不再为不符合项目单例 Binary Authorization 政策的 Pod 映像生成 Cloud Logging 条目。

替代方案：使用基于检查的平台政策的持续验证 (CV)

请通过使用基于检查的平台政策的持续验证 (CV) 来监控您的 Pod。

除了对证明的支持之外，基于检查的平台政策还可让您监控与 Pod 关联的容器映像的元数据，从而帮助您缓解潜在的安全问题。CV 基于检查的政策提供的检查包含以下各项：

• 漏洞检查：检查映像中是否存在已达到您所定义的严重级别的安全漏洞。
• Sigstore 检查：映像具有由 sigstore 签名的证明。
• SLSA 检查：映像是通过可信目录中的源代码和可信构建器构建的。
• 可信目录检查：映像必须位于可信映像仓库内的可信目录中。

与旧版持续验证一样，使用基于检查的政策的 CV 也会将具有不符合规则的映像的 Pod 记录到 Logging。

如果您使用旧版持续验证（旧版 CV），请参阅迁移。

如需详细了解使用基于检查的平台政策的 CV 的使用方法，请参阅持续验证概览。

迁移

如需从旧版 CV 项目单例政策迁移到等效的基于检查的平台政策，请执行以下操作：

• 对于 ALWAYS_ALLOW 项目单例政策，请创建一项基于检查的平台政策，其不含任何 checkSet 块。
• 对于 ALWAYS_DENY 项目单例政策，请创建一项基于检查的平台政策，其中包含一个具有 alwaysDeny 检查的 checkSet 块。
• 对于要求提供证明的项目单例政策，请创建一项基于检查的政策，对于项目单例政策中的每个证明者，请将一个 SimpleSigningAttestationCheck 添加到基于检查的政策中。通过使用相同的密钥对，检查会继续使用现有的证明，并且仅记录没有有效证明的 Pod 映像。

基于检查的平台政策的范围限定为 GKE 集群，而不是 Google Cloud 项目。创建基于检查的平台政策后，您可以将该政策应用于一个或多个集群。

如需在集群上启用使用基于检查的平台政策的 CV，必须在集群创建或更新过程中配置集群的 Binary Authorization 设置。