Este documento explica como ativar o modo de teste.
Quando você ativa o modo de teste, a autorização binária permite que todas as imagens de contêiner sejam implantadas, mesmo que essas imagens violem a política de autorização binária. As mensagens de status de conformidade com a política são registradas nos registros de auditoria do Cloud. É possível inspecionar o registro para determinar se as imagens foram proibidas e realizar ações corretivas. Quando a configuração da política funciona como você pretende, é possível desativar o modo de teste para ativar a aplicação da autorização binária. As imagens que violam a política não podem ser implantadas.
É possível definir o modo de teste na regra padrão ou em uma regra específica.
Antes de começar
Para usar o modo de teste, configure a autorização binária para sua plataforma.
Ativar simulação
Para ativar a simulação, faça o seguinte:
Console
Acesse a página "Autorização binária" no Console do Google Cloud.
Clique em Editar política.
Em Regra padrão ou em uma regra específica, selecione Modo de teste.
Clique em Save Policy.
gcloud
Exporte a política de autorização binária para um arquivo YAML:
gcloud container binauthz policy export > /tmp/policy.yaml
Em um editor de texto, defina
enforcementMode
comoDRYRUN_AUDIT_LOG_ONLY
e salve o arquivo.Para atualizar a política, importe o arquivo executando o seguinte comando:
gcloud container binauthz policy import /tmp/policy.yaml
Para testar o modo de teste, implante imagens que violem a política e visualize eventos de modo de teste da autorização binária para o GKE, Cloud Run, ou o Google Distributed Cloud.
Desativar modo de teste
Para desativar o modo de teste, atualize a política desta maneira:
Console
Acesse a página "Autorização binária" no Console do Google Cloud.
Clique em Editar política.
Em Regra padrão ou em uma regra específica, desmarque o Modo de teste.
Clique em Save Policy.
gcloud
Exporte a política de autorização binária:
gcloud container binauthz policy export > /tmp/policy.yaml
Em um editor de texto, defina
enforcementMode
comoENFORCED_BLOCK_AND_AUDIT_LOG
e salve o arquivo.Para atualizar a política, importe o arquivo executando o seguinte comando:
gcloud container binauthz policy import /tmp/policy.yaml
A seguir
- Ver eventos do modo de teste da autorização binária para o GKE nos registros de auditoria do Cloud.
- Ver eventos do modo de teste da autorização binária para o Cloud Run em registros de auditoria do Cloud.
- Confira os eventos do modo de teste da autorização binária para Distributed Cloud nos Registros de auditoria do Cloud.