Halaman ini diterjemahkan oleh Cloud Translation API.

Penghentian dan penonaktifan validasi berkelanjutan lama

Persyaratan Layanan Google Cloud Platform (pasal 1.4(d), "Penghentian Layanan") menetapkan kebijakan penghentian layanan yang berlaku untuk Binary Authorization. Kebijakan penghentian layanan hanya berlaku untuk layanan, fitur, atau produk yang tercantum di dalamnya.

Setelah layanan, fitur, atau produk secara resmi tidak digunakan lagi, layanan, fitur, atau produk tersebut akan terus tersedia setidaknya selama jangka waktu yang ditentukan dalam Persyaratan Layanan. Setelah jangka waktu ini, layanan akan dijadwalkan untuk dimatikan.

Otorisasi Biner mengakhiri dukungan untuk validasi berkelanjutan lama (CV lama) dengan kebijakan project singleton untuk GKE.

Mulai 15 April 2024, Anda tidak dapat mengaktifkan CV lama untuk Google Kubernetes Engine (GKE) di project baru.
CV lama akan terus memantau Pod GKE melalui kebijakan singleton project untuk project yang mengaktifkan fitur tersebut hingga 1 Mei 2025. Setelah 1 Mei 2025, CV lama tidak akan lagi memantau Pod Anda, dan Entri Cloud Logging tidak akan lagi dibuat untuk image Pod yang tidak sesuai dengan kebijakan Otorisasi Biner project singleton.

Penggantian: Validasi berkelanjutan (CV) dengan kebijakan platform berbasis pemeriksaan

Pantau Pod Anda menggunakan validasi berkelanjutan (CV) dengan kebijakan platform berbasis check.

Selain dukungan untuk pengesahan, kebijakan platform berbasis pemeriksaan memungkinkan Anda memantau metadata image container yang terkait dengan Pod untuk membantu Anda memitigasi potensi masalah keamanan. Kebijakan berbasis pemeriksaan CV menyediakan pemeriksaan yang mencakup hal berikut:

Pemeriksaan kerentanan: image diperiksa untuk mengetahui kerentanan keamanan pada tingkat keparahan yang Anda tentukan.
Pemeriksaan Sigstore: Gambar memiliki pengesahan yang ditandatangani oleh {i>sigstore<i}.
Pemeriksaan SLSA: Image dibuat dari sumber di direktori tepercaya dan oleh builder tepercaya.
Pemeriksaan direktori tepercaya: Image harus berada di direktori tepercaya dalam image tepercaya repositori resource.

Seperti validasi berkelanjutan lama, CV dengan kebijakan berbasis pemeriksaan juga mencatat Pod dengan image yang tidak sesuai dengan Logging.

Jika Anda menggunakan validasi berkelanjutan lama (CV lama), lihat Migrasi.

Untuk informasi selengkapnya tentang cara menggunakan CV dengan kebijakan platform berbasis pemeriksaan, lihat Ringkasan validasi berkelanjutan.

Migrasi

Untuk bermigrasi dari kebijakan singleton project CV lama ke kebijakan platform berbasis check-in yang setara, lakukan hal berikut:

Untuk kebijakan singleton project ALWAYS_ALLOW, buat platform berbasis pemeriksaan kebijakan tanpa pemblokiran checkSet.
Untuk kebijakan singleton project ALWAYS_DENY, buat platform berbasis pemeriksaan kebijakan dengan satu blok checkSet yang memiliki pemeriksaan alwaysDeny.
Untuk kebijakan singleton project yang memerlukan pengesahan, buat kebijakan berbasis pemeriksaan tunggal, dan untuk setiap attestor dalam project tambahkan satu SimpleSigningAttestationCheck ke kebijakan berbasis pemeriksaan. Dengan menggunakan pasangan kunci yang sama, pemeriksaan akan terus bekerja dengan pengesahan yang ada, dan hanya mencatat log image Pod yang tidak memiliki pengesahan yang valid.

Kebijakan platform berbasis pemeriksaan mencakup cluster GKE, bukan dibandingkan project Google Cloud. Setelah Anda membuat platform berbasis pemeriksaan , Anda dapat menerapkan kebijakan itu ke satu atau beberapa klaster.

Untuk mengaktifkan CV dengan kebijakan platform berbasis pemeriksaan pada cluster, setelan Otorisasi Biner cluster harus dikonfigurasi selama proses pembuatan atau update cluster.