Ativar o modo de teste

Este documento explica como ativar o modo de teste.

Quando você ativa o modo de teste, a autorização binária permite que todas as imagens de contêiner sejam implantadas, mesmo que essas imagens violem a política de autorização binária. As mensagens de status de conformidade com a política são registradas nos registros de auditoria do Cloud. É possível inspecionar o registro para determinar se as imagens foram proibidas e realizar ações corretivas. Quando a configuração da política funciona como você pretende, é possível desativar o modo de teste para ativar a aplicação da autorização binária. As imagens que violam a política não podem ser implantadas.

É possível definir o modo de teste na regra padrão ou em uma regra específica.

Antes de começar

Para usar o modo de teste, configure a autorização binária para sua plataforma.

Ativar simulação

Para ativar a simulação, faça o seguinte:

Console

Acesse a página "Autorização binária" no Console do Google Cloud.

Acesse Autorização binária.
Clique em Editar política.
Em Regra padrão ou em uma regra específica, selecione Modo de teste.

Observação: para demonstrar o modo de teste, também é possível definir a regra como Bloquear todas as imagens. Com essa configuração, todas as imagens que violam a política não podem ser implantadas e as violações são registradas.
Clique em Save Policy.

gcloud

Exporte a política de autorização binária para um arquivo YAML:
```
gcloud container binauthz policy export  > /tmp/policy.yaml
```
Em um editor de texto, defina enforcementMode como DRYRUN_AUDIT_LOG_ONLY e salve o arquivo.

Observação: para demonstrar o modo de teste, defina evaluationMode como ALWAYS_DENY. Com essa configuração, todas as imagens que violam a política não podem ser implantadas e as violações são registradas.
Para atualizar a política, importe o arquivo executando o seguinte comando:
```
gcloud container binauthz policy import /tmp/policy.yaml
```

Para testar o modo de teste, implante imagens que violem a política e veja os eventos do modo de teste da autorização binária para o GKE, Cloud Run ou clusters do Anthos no VMware.

Desativar modo de teste

Para desativar o modo de teste, atualize a política desta maneira:

Console

Acesse a página "Autorização binária" no Console do Google Cloud.

Acesse Autorização binária
Clique em Editar política.
Em Regra padrão ou em uma regra específica, desmarque o Modo de teste.
Clique em Save Policy.

gcloud

Exporte a política de autorização binária:

gcloud container binauthz policy export  > /tmp/policy.yaml

Em um editor de texto, defina enforcementMode como ENFORCED_BLOCK_AND_AUDIT_LOG e salve o arquivo.
Para atualizar a política, importe o arquivo executando o seguinte comando:
```
gcloud container binauthz policy import /tmp/policy.yaml
```

A seguir

Ver eventos do modo de teste da autorização binária para o GKE nos registros de auditoria do Cloud.
Ver eventos do modo de teste da autorização binária para o Cloud Run em registros de auditoria do Cloud.
Ver eventos do modo de teste da autorização binária para clusters do Anthos no VMware nos registros de auditoria do Cloud.