Habilita el modo de ejecución de prueba

En este documento, se explica cómo habilitar el modo de ejecución de prueba.

Cuando habilitas el modo de ejecución de prueba, la autorización binaria permite que se implementen todas las imágenes de contenedor, incluso si esas imágenes infringen la política de autorización binaria. Los mensajes de estado de cumplimiento de políticas se registran en Cloud Audit Logs. Puedes inspeccionar el registro para determinar si las imágenes se hubieran inhabilitado y tomar medidas correctivas. Cuando la configuración de la política funciona según lo previsto, puedes inhabilitar el modo de ejecución de prueba para habilitar la aplicación de la autorización binaria. No se pueden implementar las imágenes que infringen la política.

Puedes configurar el modo de ejecución de prueba en la regla predeterminada o en una específica.

Antes de comenzar

A fin de usar el modo de ejecución de prueba, configura la autorización binaria para tu plataforma.

Habilita la ejecución de prueba

Para habilitar la ejecución de prueba, sigue estos pasos:

Console

  1. Ve a la página Autorización binaria en Google Cloud Console.

    Ir a Autorización binaria

  2. Haz clic en Editar política.

  3. En Regla predeterminada o una regla específica, selecciona Modo de ejecución de prueba.

  4. Haga clic en Save Policy.

gcloud

  1. Exporta la política de la autorización binaria a un archivo YAML:

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. En un editor de texto, configura enforcementMode como DRYRUN_AUDIT_LOG_ONLY y guarda el archivo.

  3. Para actualizar la política, importa el archivo mediante la ejecución del comando siguiente:

    gcloud container binauthz policy import /tmp/policy.yaml
    

A fin de probar el modo de ejecución de prueba, implementa imágenes que infrinjan la política y, luego, visualiza los eventos del modo de ejecución de prueba de la autorización binaria para GKE, Cloud Run o clústeres de Anthos alojados en VMware.

Inhabilita el modo de ejecución de prueba

Para inhabilitar el modo de ejecución de prueba, actualiza tu política de la siguiente manera:

Console

  1. Ve a la página Autorización binaria en Google Cloud Console.

    Ir a Autorización binaria

  2. Haz clic en Editar política.

  3. En Regla predeterminada o una regla específica, borra el Modo de ejecución de prueba.

  4. Haga clic en Save Policy.

gcloud

  1. Exporta la política de autorización binaria:

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. En un editor de texto, configura enforcementMode como ENFORCED_BLOCK_AND_AUDIT_LOG y guarda el archivo.

  3. Para actualizar la política, importa el archivo mediante la ejecución del comando siguiente:

    gcloud container binauthz policy import /tmp/policy.yaml
    

¿Qué sigue?

  • Visualiza los eventos del modo de ejecución de prueba de la autorización binaria para GKE en los registros de auditoría de Cloud.
  • Visualiza los eventos del modo de ejecución de prueba de la autorización binaria para Cloud Run en los registros de auditoría de Cloud.
  • Visualiza los eventos del modo de ejecución de prueba de la autorización binaria para los clústeres de Anthos alojados en VMware en los registros de auditoría de Cloud.