このドキュメントでは、ドライラン モードを有効にする方法について説明します。
ドライラン モードを有効にすると、Binary Authorization ポリシーに違反するすべてのコンテナ イメージがデプロイされます。ポリシーの遵守状況を示すメッセージが Cloud Audit Logs に記録されます。ログを調べてイメージが禁止対象かどうかを確認し、訂正措置を講じることができます。ポリシー構成が意図したとおり機能したら、ドライラン モードを無効にして Binary Authorization の適用を有効にできます。これにより、ポリシーに違反するイメージのデプロイが禁止されます。
ドライラン モードは、デフォルト ルールでも特定のルールでも設定できます。
始める前に
ドライラン モードを使用するには、プラットフォームで Binary Authorization を設定します。
ドライランを有効にする
ドライランを有効にするには、次の操作を行います。
Console
Google Cloud コンソールで [Binary Authorization] ページに移動します。
[ポリシーの編集] をクリックします。
デフォルトのルールまたは固有のルールで、[ドライラン モード] を選択します。
[ポリシーを保存] をクリックします。
gcloud
Binary Authorization ポリシーを YAML ファイルにエクスポートします。
gcloud container binauthz policy export > /tmp/policy.yamlテキスト エディタで、
enforcementModeをDRYRUN_AUDIT_LOG_ONLYに設定し、ファイルを保存します。ポリシーを更新するには、次のコマンドを実行してファイルをインポートします。
gcloud container binauthz policy import /tmp/policy.yaml
ドライラン モードをテストするには、ポリシーに違反するイメージをデプロイしてから、GKE、Cloud Run または GKE クラスタの Binary Authorization のドライラン モード イベントを表示します。
ドライラン モードを無効にする
ドライラン モードを無効にするには、次のようにポリシーを更新します。
Console
Google Cloud コンソールで [Binary Authorization] ページに移動します。
[ポリシーの編集] をクリックします。
デフォルトのルールまたは固有のルールで、[ドライラン モード] をクリアします。
[ポリシーを保存] をクリックします。
gcloud
Binary Authorization ポリシーをエクスポートします。
gcloud container binauthz policy export > /tmp/policy.yamlテキスト エディタで、
enforcementModeをENFORCED_BLOCK_AND_AUDIT_LOGに設定し、ファイルを保存します。ポリシーを更新するには、次のコマンドを実行してファイルをインポートします。
gcloud container binauthz policy import /tmp/policy.yaml
次のステップ
- Cloud Audit Logs で GKE の Binary Authorization のドライラン モード イベントを表示する。
- Cloud Audit Logs で Cloud Run の Binary Authorization のドライラン モード イベントを表示する。
- Cloud Audit Logs で GKE クラスタの Binary Authorization のドライラン モード イベントを表示する。