ドライラン モードを有効にする

このドキュメントでは、ドライラン モードを有効にする方法について説明します。

ドライラン モードを有効にすると、Binary Authorization ポリシーに違反するすべてのコンテナ イメージがデプロイされます。ポリシーの遵守状況を示すメッセージが Cloud Audit Logs に記録されます。ログを調べてイメージが禁止対象かどうかを確認し、訂正措置を講じることができます。ポリシー構成が意図したとおり機能したら、ドライラン モードを無効にして Binary Authorization の適用を有効にできます。これにより、ポリシーに違反するイメージのデプロイが禁止されます。

ドライラン モードは、デフォルト ルールでも特定のルールでも設定できます。

始める前に

ドライラン モードを使用するには、プラットフォームで Binary Authorization を設定します

ドライランを有効にする

ドライランを有効にするには、次の操作を行います。

Console

  1. Google Cloud コンソールで [Binary Authorization] ページに移動します。

    Binary Authorization に移動

  2. [ポリシーの編集] をクリックします。

  3. デフォルトのルールまたは固有のルールで、[ドライラン モード] を選択します。

  4. [ポリシーを保存] をクリックします。

gcloud

  1. Binary Authorization ポリシーを YAML ファイルにエクスポートします。

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. テキスト エディタで、enforcementModeDRYRUN_AUDIT_LOG_ONLY に設定し、ファイルを保存します。

  3. ポリシーを更新するには、次のコマンドを実行してファイルをインポートします。

    gcloud container binauthz policy import /tmp/policy.yaml
    

ドライラン モードをテストするには、ポリシーに違反するイメージをデプロイしてから、GKECloud Run または Google Distributed Cloud の Binary Authorization のドライラン モード イベントを表示します。

ドライラン モードを無効にする

ドライラン モードを無効にするには、次のようにポリシーを更新します。

Console

  1. Google Cloud コンソールで [Binary Authorization] ページに移動します。

    Binary Authorization に移動

  2. [ポリシーの編集] をクリックします。

  3. デフォルトのルールまたは固有のルールで、[ドライラン モード] をクリアします。

  4. [ポリシーを保存] をクリックします。

gcloud

  1. Binary Authorization ポリシーをエクスポートします。

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. テキスト エディタで、enforcementModeENFORCED_BLOCK_AND_AUDIT_LOG に設定し、ファイルを保存します。

  3. ポリシーを更新するには、次のコマンドを実行してファイルをインポートします。

    gcloud container binauthz policy import /tmp/policy.yaml
    

次のステップ

  • Cloud Audit Logs で GKE の Binary Authorization のドライラン モード イベントを表示する。
  • Cloud Audit Logs で Cloud Run の Binary Authorization のドライラン モード イベントを表示する。
  • Cloud Audit Logs で Distributed Cloud の Binary Authorization のドライラン モード イベントを表示する。