이 문서에서는 테스트 실행 모드를 사용 설정하는 방법을 설명합니다.
테스트 실행 모드를 사용 설정하면 이미지가 Binary Authorization 정책을 위반하더라도 Binary Authorization을 통해 모든 컨테이너 이미지를 배포할 수 있습니다. 정책 준수 상태 메시지는 Cloud 감사 로그에 기록됩니다. 로그를 검사하여 이미지 비허용 여부를 확인하고 시정 조치를 수행할 수 있습니다. 정책 구성이 의도한 대로 작동하면 테스트 실행 모드를 사용 중지하여 Binary Authorization 적용을 사용 설정할 수 있습니다. 정책을 위반하는 이미지는 배포되지 않습니다.
기본 규칙 또는 특정 규칙에서 테스트 실행 모드를 설정할 수 있습니다.
시작하기 전에
테스트 실행 모드를 사용하려면 플랫폼에 Binary Authorization을 설정합니다.
테스트 실행 사용 설정
테스트 실행을 사용 설정하려면 다음을 수행합니다.
콘솔
Google Cloud 콘솔의 Binary Authorization 페이지로 이동합니다.
정책 수정을 클릭합니다.
기본 규칙이나 특정 규칙에서 테스트 실행 모드를 선택합니다.
정책 저장을 클릭합니다.
gcloud
Binary Authorization 정책을 YAML 파일로 내보냅니다.
gcloud container binauthz policy export > /tmp/policy.yaml
텍스트 편집기에서
enforcementMode
를DRYRUN_AUDIT_LOG_ONLY
로 설정하고 파일을 저장하세요.정책을 업데이트하려면 다음 명령어를 실행하여 파일을 가져옵니다.
gcloud container binauthz policy import /tmp/policy.yaml
테스트 실행 모드를 테스트하려면 정책을 위반하는 이미지를 배포한 다음 GKE, Cloud Run 또는 Google Distributed Cloud에 대해 Binary Authorization의 테스트 실행 모드 이벤트를 확인합니다.
테스트 실행 모드 사용 중지
테스트 실행 모드를 사용 중지하려면 다음과 같이 정책을 업데이트합니다.
콘솔
Google Cloud 콘솔의 Binary Authorization 페이지로 이동합니다.
정책 수정을 클릭합니다.
기본 규칙이나 특정 규칙에서 테스트 실행 모드를 선택 해제합니다.
정책 저장을 클릭합니다.
gcloud
Binary Authorization 정책을 내보냅니다.
gcloud container binauthz policy export > /tmp/policy.yaml
텍스트 편집기에서
enforcementMode
를ENFORCED_BLOCK_AND_AUDIT_LOG
로 설정하고 파일을 저장하세요.정책을 업데이트하려면 다음 명령어를 실행하여 파일을 가져옵니다.
gcloud container binauthz policy import /tmp/policy.yaml
다음 단계
- Cloud 감사 로그에서 GKE에 대한 Binary Authorization의 테스트 실행 모드 이벤트 확인하기
- Cloud 감사 로그에서 Cloud Run에 대한 Binary Authorization의 테스트 실행 모드 이벤트 확인하기
- Cloud 감사 로그에서 Distributed Cloud에 대한 Binary Authorization의 테스트 실행 모드 이벤트 확인하기