Ativar o modo de teste

Este documento explica como ativar o modo de teste.

Quando você ativa o modo de teste, a autorização binária permite que todas as imagens de contêiner sejam implantadas, mesmo que essas imagens violem a política de autorização binária. As mensagens de status de conformidade com a política são registradas nos registros de auditoria do Cloud. É possível inspecionar o registro para determinar se as imagens foram proibidas e realizar ações corretivas. Quando a configuração da política funciona como você pretende, é possível desativar o modo de teste para ativar a aplicação da autorização binária. As imagens que violam a política não podem ser implantadas.

É possível definir o modo de teste na regra padrão ou em uma regra específica.

Antes de começar

Para usar o modo de teste, configure a autorização binária para sua plataforma.

Ativar simulação

Para ativar a simulação, faça o seguinte:

Console

  1. Acesse a página "Autorização binária" no Console do Google Cloud.

    Acesse Autorização binária.

  2. Clique em Editar política.

  3. Em Regra padrão ou em uma regra específica, selecione Modo de teste.

  4. Clique em Save Policy.

gcloud

  1. Exporte a política de autorização binária para um arquivo YAML:

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. Em um editor de texto, defina enforcementMode como DRYRUN_AUDIT_LOG_ONLY e salve o arquivo.

  3. Para atualizar a política, importe o arquivo executando o seguinte comando:

    gcloud container binauthz policy import /tmp/policy.yaml
    

Para testar o modo de teste, implante imagens que violem a política e veja os eventos do modo de teste da autorização binária para o GKE, Cloud Run ou clusters do Anthos no VMware.

Desativar modo de teste

Para desativar o modo de teste, atualize a política desta maneira:

Console

  1. Acesse a página "Autorização binária" no Console do Google Cloud.

    Acesse Autorização binária

  2. Clique em Editar política.

  3. Em Regra padrão ou em uma regra específica, desmarque o Modo de teste.

  4. Clique em Save Policy.

gcloud

  1. Exporte a política de autorização binária:

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. Em um editor de texto, defina enforcementMode como ENFORCED_BLOCK_AND_AUDIT_LOG e salve o arquivo.

  3. Para atualizar a política, importe o arquivo executando o seguinte comando:

    gcloud container binauthz policy import /tmp/policy.yaml
    

A seguir

  • Ver eventos do modo de teste da autorização binária para o GKE nos registros de auditoria do Cloud.
  • Ver eventos do modo de teste da autorização binária para o Cloud Run em registros de auditoria do Cloud.
  • Ver eventos do modo de teste da autorização binária para clusters do Anthos no VMware nos registros de auditoria do Cloud.