The Google Cloud Platform 服务条款(第 1.4(d) 条,“服务终止”)定义了适用于 Binary Authorization 的弃用政策。该弃用政策仅适用于其中列出的服务、功能或产品。
在某种服务、功能或产品正式弃用后,至少在服务条款中所规定的时间段内仍可继续使用。超过该时间段之后,相应服务将按计划关停。
Binary Authorization 将停止为 GKE 提供对使用项目单例政策的旧版持续验证(旧版 CV)的支持。
- 自 2024 年 4 月 15 日起,您无法在新项目上为 Google Kubernetes Engine (GKE) 启用旧版 CV。
- 在 2025 年 5 月 1 日之前,旧版 CV 将继续通过项目单例政策为现有项目(已启用旧版 CV)监控您的 GKE Pod。2025 年 5 月 1 日之后,旧版 CV 将不再监控您的 Pod,并且将不再为不符合项目单例 Binary Authorization 政策的 Pod 映像生成 Cloud Logging 条目。
替代方案:使用基于检查的平台政策的持续验证 (CV)
请通过使用基于检查的平台政策的持续验证 (CV) 来监控您的 Pod。
除了对证明的支持之外,基于检查的平台政策还可让您监控与 Pod 关联的容器映像的元数据,从而帮助您缓解潜在的安全问题。CV 基于检查的政策提供的检查包含以下各项:
- 漏洞检查:检查映像中是否存在已达到您所定义的严重级别的安全漏洞。
- Sigstore 检查:映像具有由 sigstore 签名的证明。
- SLSA 检查:映像是通过可信目录中的源代码和可信构建器构建的。
- 可信目录检查:映像必须位于可信映像仓库内的可信目录中。
与旧版持续验证一样,使用基于检查的政策的 CV 也会将具有不符合规则的映像的 Pod 记录到 Logging。
如果您使用旧版持续验证(旧版 CV),请参阅迁移。
如需详细了解使用基于检查的平台政策的 CV 的使用方法,请参阅持续验证概览。
迁移
如需从旧版 CV 项目单例政策迁移到等效的基于检查的平台政策,请执行以下操作:
- 对于
ALWAYS_ALLOW项目单例政策,请创建一项基于检查的平台政策,其不含任何checkSet块。 - 对于
ALWAYS_DENY项目单例政策,请创建一项基于检查的平台政策,其中包含一个具有alwaysDeny检查的checkSet块。 - 对于要求提供证明的项目单例政策,请创建一项基于检查的政策,对于项目单例政策中的每个证明者,请将一个 SimpleSigningAttestationCheck 添加到基于检查的政策中。通过使用相同的密钥对,检查会继续使用现有的证明,并且仅记录没有有效证明的 Pod 映像。
基于检查的平台政策的范围限定为 GKE 集群,而不是 Google Cloud 项目。创建基于检查的平台政策后,您可以将该政策应用于一个或多个集群。
如需在集群上启用使用基于检查的平台政策的 CV,必须在集群创建或更新过程中配置集群的 Binary Authorization 设置。