Activer le mode de simulation

Ce document explique comment activer le mode de simulation.

Lorsque vous activez le mode de simulation, l'autorisation binaire permet le déploiement de toutes les images de conteneurs, même si elles ne respectent pas la règle d'autorisation binaire. Les messages d'état relatifs à la conformité avec les règles sont consignés dans les Cloud Audit Logs. Vous pouvez consulter le journal pour déterminer si les images auraient été interdites et prendre les mesures correctives nécessaires. Lorsque la configuration de règle fonctionne comme prévu, vous pouvez désactiver le mode de simulation pour activer l'application de l'autorisation binaire, après quoi il est impossible de déployer des images qui ne respectent pas la règle.

Vous pouvez définir le mode de simulation dans la règle par défaut ou dans une règle spécifique.

Avant de commencer

Pour utiliser le mode de simulation, configurez l'autorisation binaire pour votre plate-forme.

Activer le mode de simulation

Pour activer le mode de simulation, procédez comme suit :

Console

Accédez à la page "Autorisation binaire" dans Google Cloud Console.

Accéder à la page "Autorisation binaire"
Cliquez sur Modifier la règle.
Dans Règle par défaut ou une règle spécifique, sélectionnez Mode de simulation.

Remarque : Pour illustrer le mode simulation, vous pouvez également définir la règle sur Interdire toutes les images. Avec ce paramètre, toutes les images qui enfreignent la stratégie ne peuvent pas être déployées et les violations sont consignées.
Cliquez sur Save Policy (Enregistrer la stratégie).

gcloud

Exportez la stratégie d'autorisation binaire dans un fichier YAML :
```
gcloud container binauthz policy export  > /tmp/policy.yaml
```
Dans un éditeur de texte, définissez enforcementMode sur DRYRUN_AUDIT_LOG_ONLY et enregistrez le fichier.

Remarque : Pour illustrer le mode simulation, vous pouvez définir evaluationMode sur ALWAYS_DENY. Avec ce paramètre, toutes les images qui enfreignent la stratégie ne peuvent pas être déployées et les violations sont consignées.
Pour mettre à jour la stratégie, importez le fichier en exécutant la commande suivante :
```
gcloud container binauthz policy import /tmp/policy.yaml
```

Pour tester le mode de simulation, déployez des images qui ne respectent pas la stratégie, puis affichez les événements en mode de simulation à partir de l'autorisation binaire pour GKE, Cloud Run ou les clusters GKE.

Désactiver le mode de simulation

Pour désactiver le mode de simulation, mettez à jour votre stratégie comme suit :

Console

Accédez à la page "Autorisation binaire" dans Google Cloud Console.

Accéder à la page "Autorisation binaire"
Cliquez sur Modifier la règle.
Dans Règle par défaut ou dans une règle spécifique, sélectionnez Mode de simulation.
Cliquez sur Save Policy (Enregistrer la stratégie).

gcloud

Exportez la stratégie d'autorisation binaire :

gcloud container binauthz policy export  > /tmp/policy.yaml

Dans un éditeur de texte, définissez enforcementMode sur ENFORCED_BLOCK_AND_AUDIT_LOG et enregistrez le fichier.
Pour mettre à jour la stratégie, importez le fichier en exécutant la commande suivante :
```
gcloud container binauthz policy import /tmp/policy.yaml
```

Étape suivante

Affichez les événements en mode simulation de l'autorisation binaire pour GKE dans Cloud Audit Logs.
Affichez les événements en mode simulation de l'autorisation binaire pour Cloud Run dans Cloud Audit Logs.
Affichez les événements en mode simulation de l'autorisation binaire pour les clusters GKE dans Cloud Audit Logs.