啟用模擬測試模式

本文說明如何啟用試營運模式。

啟用模擬測試模式後,二進位授權會允許部署所有容器映像檔,即使這些映像檔違反二進位授權政策也一樣。政策合規狀態訊息會記錄到 Cloud 稽核記錄。 您可以檢查記錄,判斷圖片是否會遭到禁止,並採取修正措施。確認政策設定符合預期後,即可停用模擬測試模式,啟用二進位授權強制執行功能。屆時,系統會禁止部署違反政策的映像檔。

您可以在預設規則或特定規則中設定模擬測試模式。

事前準備

如要使用模擬測試模式,請為平台設定二進位授權

啟用模擬測試

如要啟用模擬測試,請按照下列步驟操作:

主控台

  1. 前往 Google Cloud 控制台的「二進位授權」頁面。

    前往二進位授權

  2. 按一下「編輯政策」

  3. 在「預設規則」或特定規則中,選取「模擬測試模式」

  4. 點選 [儲存政策]

gcloud

  1. 將二進位授權政策匯出至 YAML 檔案:

    gcloud container binauthz policy export  > /tmp/policy.yaml

  2. 在文字編輯器中,將 enforcementMode 設為 DRYRUN_AUDIT_LOG_ONLY,然後儲存檔案。

    無法部署,且違規事項會記錄在記錄檔中。

  3. 如要更新政策,請執行下列指令來匯入檔案:

    gcloud container binauthz policy import /tmp/policy.yaml

如要測試試營運模式,請部署違反政策的映像檔,然後查看二進位授權的試營運模式事件 (適用於 GKECloud RunGoogle Distributed Cloud)。

停用模擬測試模式

如要停用模擬測試模式,請按照下列方式更新政策:

主控台

  1. 前往 Google Cloud 控制台的「二進位授權」頁面。

    前往二進位授權

  2. 按一下「編輯政策」

  3. 在「預設規則」或特定規則中,取消勾選「模擬測試模式」

  4. 點選 [儲存政策]

gcloud

  1. 匯出二進位授權政策:

    gcloud container binauthz policy export  > /tmp/policy.yaml

  2. 在文字編輯器中,將 enforcementMode 設為 ENFORCED_BLOCK_AND_AUDIT_LOG,然後儲存檔案。

  3. 如要更新政策,請執行下列指令匯入檔案:

    gcloud container binauthz policy import /tmp/policy.yaml

後續步驟

  • 在 Cloud 稽核記錄中,查看 GKE 適用的二進位授權模擬執行模式事件。
  • 在 Cloud 稽核記錄中,查看 Cloud Run 的二進位授權模擬測試模式事件。
  • 在 Cloud 稽核記錄中,查看 Distributed Cloud 的 Binary Authorization 模擬執行模式事件。