ドライラン モードを有効にする

このドキュメントでは、ドライラン モードを有効にする方法について説明します。

ドライラン モードを有効にすると、Binary Authorization ポリシーに違反する場合であっても、Binary Authorization がすべてのコンテナ イメージのデプロイを許可します。ポリシー遵守のステータス メッセージは Cloud Audit Logs に記録されます。ログを調べて、イメージを禁止する設定になっているかどうかを判別し、修正する操作を行うことができます。ポリシー構成が意図したとおりに機能している場合は、ドライラン モードを無効にして Binary Authorization の適用を有効にできます。ポリシーに違反するイメージのデプロイは許可されません。

ドライラン モードは、デフォルト ルールまたは特定のルールで設定できます。

始める前に

ドライラン モードを使用するには、プラットフォームに Binary Authorization を設定します。

ドライランを有効にする

ドライランを有効にするには、次の操作を行います。

Console

  1. Google Cloud Console で [Binary Authorization] ページに移動します。

    Binary Authorization に移動します

  2. [ポリシーの編集] をクリックします。

  3. [デフォルトのルール] または特定のルールで、[ドライラン モード] を選択します。

  4. [ポリシーを保存] をクリックします。

gcloud

  1. Binary Authorization ポリシーを YAML ファイルにエクスポートします。

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. テキスト エディタで、enforcementModeDRYRUN_AUDIT_LOG_ONLY に設定し、ファイルを保存します。

  3. ポリシーを更新するには、次のコマンドを実行して、ファイルをインポートします。

    gcloud container binauthz policy import /tmp/policy.yaml
    

ドライラン モードをテストするには、ポリシーに違反するイメージをデプロイしてから、GKECloud Run または Anthos clusters on VMware の Binary Authorization からドライラン モード イベントを表示します。

ドライラン モードを無効にする

ドライラン モードを無効にするには、次のようにポリシーを更新します。

Console

  1. Google Cloud Console で [Binary Authorization] ページに移動します。

    Binary Authorization に移動

  2. [ポリシーの編集] をクリックします。

  3. [デフォルトのルール] または特定のルールで、[ドライラン モード] をオフにします。

  4. [ポリシーを保存] をクリックします。

gcloud

  1. Binary Authorization ポリシーをエクスポートします。

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. テキスト エディタで、enforcementModeENFORCED_BLOCK_AND_AUDIT_LOG に設定してファイルを保存します。

  3. ポリシーを更新するには、次のコマンドを実行して、ファイルをインポートします。

    gcloud container binauthz policy import /tmp/policy.yaml
    

次のステップ

  • Cloud Audit Logs で GKE の Binary Authorization のドライラン モード イベントを表示する。
  • Cloud Audit Logs で Cloud Run の Binary Authorization のドライラン モード イベントを表示する。
  • Cloud Audit Logs で Anthos clusters on VMware の Binary Authorization のドライラン モード イベントを表示する。