Descontinuação e desativação da validação contínua legada

Os Termos de Serviço do Google Cloud Platform (seção 1.4(d), "Descontinuidade dos serviços") definem a política de suspensão de uso que se aplica a Binary Authorization. A política de suspensão de uso se aplica somente aos serviços, recursos ou produtos listados nela.

Depois que um serviço, recurso ou produto é oficialmente suspenso, ele continua disponível pelo menos durante o período definido nos Termos de Serviço. Após esse período, o serviço será encerrado.

A autorização binária está encerrando o suporte à validação contínua legada (CV legada) com políticas de Singleton de projeto para o GKE.

  • Desde 15 de abril de 2024, não é mais possível ativar a CV legada para o Google Kubernetes Engine (GKE) em novos projetos.
  • A CV legada continuará monitorando seus pods do GKE por meio de políticas de Singleton para projetos atuais em que ela já está ativada até 1° de maio de 2025. Após essa data, ela não vai mais monitorar seus pods, e as entradas do Cloud Logging não serão mais produzidas para imagens de pod que não estejam em conformidade com a política da autorização binária de Singleton de projeto.

Substituição: validação contínua (CV) com políticas de plataforma baseadas em verificação

Monitore seus pods usando a validação contínua (CV) com políticas de plataforma baseadas em verificação.

Além do suporte a atestados, as políticas de plataforma baseadas em verificação permitem monitorar os metadados de imagens de contêiner associadas aos seus pods a fim de ajudar a reduzir possíveis problemas de segurança. As políticas baseadas em verificação da CV fornecem verificações que incluem o seguinte:

Assim como a validação contínua legada, a CV com políticas baseadas em verificação também registra pods com imagens sem conformidade no Logging.

Se você usar a validação contínua legada (CV legada), consulte Migração.

Para mais informações sobre como usar a CV com políticas de plataforma baseadas em verificação, consulte Visão geral da validação contínua.

Migração

Para migrar de uma política de Singleton de projeto da CV legada para uma política de plataforma baseada em verificação equivalente, faça o seguinte:

  • Para uma política de Singleton de projeto ALWAYS_ALLOW, crie uma política de plataforma baseada em verificação sem nenhum bloco de checkSet.
  • Para uma política de Singleton de projeto ALWAYS_DENY, crie uma política de plataforma baseada em verificação com um único bloco checkSet que tenha uma verificação alwaysDeny.
  • Para uma política de Singleton de projeto que exija atestados, crie uma única política baseada em verificação e, para cada atestador na política de Singleton de projeto, adicione uma SimpleSigningAttestationCheck à política baseada em verificação. Ao usar o mesmo par de chaves, a verificação continua funcionando com os atestados atuais e registra apenas imagens de pod que não têm atestados válidos.

As políticas de plataforma baseadas em verificação têm escopo para um cluster do GKE, em vez de para um projeto do Google Cloud. Depois de criar uma política de plataforma baseada em verificação, é possível aplicá-la a um ou mais clusters.

Para ativar a CV com políticas de plataforma baseadas em verificação em um cluster, as configurações de autorização binária dele precisam ser definidas durante o processo de criação ou atualização.