Tutorial ini menjelaskan cara menggunakan Otorisasi Biner dalam konfigurasi multi-project. Untuk konfigurasi satu project yang lebih sederhana, lihat Mulai menggunakan Google Cloud CLI (GKE).
Untuk menerapkan pemisahan tugas, Anda dapat menyiapkan Otorisasi Biner dalam konfigurasi beberapa project. Tujuan setiap project akan dibahas nanti dalam tutorial ini.
Tujuan
Dalam tutorial ini, Anda akan melakukan tugas-tugas berikut:Siapkan project lain untuk deployment (GKE), pengautentikasi, dan pengelolaan pengesahan, untuk mendukung pemisahan tugas.
Konfigurasikan aturan default dari kebijakan Otorisasi Biner Anda untuk mewajibkan pengesahan.
Buat pasangan kunci Infrastruktur Kunci Publik (X.509) (PKIX) untuk menandatangani, lalu memverifikasi, pengesahan.
Buat pengesah yang digunakan penegak Otorisasi Biner untuk memverifikasi pengesahan.
Tanda tangani contoh gambar, yang akan membuat pengesahan.
Uji kebijakan dengan men-deploy gambar contoh.
Anda harus mengonfigurasi kontrol akses yang sesuai untuk setiap project melalui Identity and Access Management (IAM).
Untuk keamanan tambahan, Anda dapat menggunakan Kontrol Layanan VPC untuk membantu melindungi resource yang Anda buat dalam tutorial ini. Untuk mengetahui informasi selengkapnya, lihat Mengamankan dengan Kontrol Layanan VPC.
Biaya
Dalam dokumen ini, Anda akan menggunakan komponen Google Cloud yang dapat ditagih berikut:
- Artifact Registry or Container Registry
- Binary Authorization
- GKE
- Container Registry
- Optional: Cloud Key Management Service
Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda,
gunakan kalkulator harga.
Sebelum memulai
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Instal
kubectl
untuk berinteraksi dengan GKE.
Menyiapkan project deployer
Project deployer mengelola cluster Google Kubernetes Engine (GKE), tempat Anda men-deploy image, dan kebijakan Otorisasi Biner yang diterapkan Otorisasi Biner pada waktu deployment. Anda dapat memiliki lebih dari satu project deployer, bergantung pada ukuran, kompleksitas, dan persyaratan lain di lingkungan Anda.
Untuk menyiapkan project deployer:
Buat project dan aktifkan penagihan di konsol Google Cloud jika Anda belum melakukannya.
Catatan Identity and Access Management: Project deployer berisi cluster GKE Anda. Konfigurasi Identity and Access Management untuk project ini harus mencerminkannya.
Tetapkan variabel lingkungan untuk menyimpan project dan nomor Google Cloud:
DEPLOYER_PROJECT_ID=DEPLOYER_PROJECT_ID
Ganti DEPLOYER_PROJECT_ID dengan ID project Google Cloud.
DEPLOYER_PROJECT_NUMBER=$(gcloud projects describe "${DEPLOYER_PROJECT_ID}" \ --format="value(projectNumber)")
Aktifkan API:
Container Registry
gcloud --project=${DEPLOYER_PROJECT_ID} \ services enable\ container.googleapis.com\ containerregistry.googleapis.com\ binaryauthorization.googleapis.com
Artifact Registry
gcloud --project=${DEPLOYER_PROJECT_ID} \ services enable\ container.googleapis.com\ artifactregistry.googleapis.com\ binaryauthorization.googleapis.com
Dapatkan nama akun layanan project deployer:
DEPLOYER_SERVICE_ACCOUNT="service-${DEPLOYER_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"
Anda akan menggunakan nama akun layanan di langkah berikutnya saat mengonfigurasi izin pada catatan Analisis Artefak yang terkait dengan pengautentikasi Anda.
Menyiapkan project pengautentikasi
Project attestor menyimpan attestor yang dapat memverifikasi bahwa image siap untuk di-deploy. Sering kali, Anda memiliki satu project pengesah yang berfungsi sebagai penyimpanan terpusat untuk informasi tentang pihak tepercaya dalam proses otorisasi. Hal ini memungkinkan Anda mengelola kunci keamanan secara terpusat yang diperlukan untuk memverifikasi identitas pelapor dan membatasi akses hanya kepada pihak yang mengelolanya.
Untuk menyiapkan project pengautentikasi:
Buat project dan aktifkan penagihan di konsol Google Cloud jika Anda belum melakukannya.
Catatan Identity and Access Management: Karena project ini berisi pengautentikasi Anda, hanya personel keamanan yang boleh memiliki akses tulis.
Tetapkan variabel lingkungan untuk menyimpan project ID dan nomor:
ATTESTOR_PROJECT_ID=ATTESTOR_PROJECT_ID
Ganti ATTESTOR_PROJECT_ID dengan project ID pengautentikasi.
ATTESTOR_PROJECT_NUMBER=$(gcloud projects describe "${ATTESTOR_PROJECT_ID}" \ --format="value(projectNumber)")
Aktifkan Artifact Analysis API dan Binary Authorization API:
gcloud services --project=${ATTESTOR_PROJECT_ID} \ enable containeranalysis.googleapis.com \ binaryauthorization.googleapis.com
Dapatkan nama akun layanan project pengautentikasi:
ATTESTOR_SERVICE_ACCOUNT="service-${ATTESTOR_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"
Anda akan menggunakan nama akun layanan di langkah berikutnya saat mengonfigurasi izin pada catatan Analisis Artefak yang terkait dengan pengautentikasi Anda.
Menyiapkan project pengesahan
Project pengesahan adalah project yang menyimpan pengesahan yang dibuat oleh attestor saat mereka memverifikasi image. Project pengesahan terpisah memungkinkan Anda mengatur dan memeriksa pernyataan tentang kesiapan software dengan lebih mudah.
Buat project dan aktifkan penagihan di konsol Google Cloud jika Anda belum melakukannya.
Catatan Identity and Access Management: Semua peran yang terlibat dalam otorisasi biner harus memiliki akses baca ke Catatan dan Kejadian Analisis Artefak dalam project ini, tetapi hanya pengelola pengesahan yang harus memiliki akses tulis.
Tetapkan variabel lingkungan untuk menyimpan nama project:
ATTESTATION_PROJECT_ID=ATTESTATION_PROJECT_ID
Ganti ATTESTATION_PROJECT_ID dengan project ID pengesahan.
Aktifkan Artifact Analysis API dan Binary Authorization API:
gcloud services --project=${ATTESTATION_PROJECT_ID} \ enable containeranalysis.googleapis.com \ binaryauthorization.googleapis.com
Membuat cluster
Sekarang Anda dapat membuat cluster GKE di project deployer.
Ini adalah cluster tempat Anda ingin menjalankan image container yang di-deploy. Saat membuat cluster, Anda meneruskan flag --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
ke perintah gcloud container clusters create
.
Untuk membuat cluster:
gcloud --project=${DEPLOYER_PROJECT_ID} \ container clusters create \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone us-central1-a \ test-cluster
Di sini, Anda akan membuat cluster bernama test-cluster
di zona GKE us-central1-a
.
Anda juga harus mengupdate file kubeconfig
lokal untuk penginstalan kubectl
. Tindakan ini akan memberikan kredensial dan informasi endpoint yang diperlukan untuk mengakses cluster di GKE.
Untuk mengupdate file kubeconfig
lokal:
gcloud --project=${DEPLOYER_PROJECT_ID} \ container clusters get-credentials \ --zone us-central1-a \ test-cluster
Membuat attestor
Penanda tangan adalah pihak yang bertanggung jawab untuk menandatangani bahwa proses yang diperlukan telah selesai sebelum image penampung dapat di-deploy. Pihak ini dapat berupa pengguna manusia atau, lebih sering, proses mesin seperti sistem build dan pengujian, atau pipeline continuous integration (CI) dan deployment (CD). Anda membuat pengautentikasi di project pengautentikasi.
Untuk membuat attestor, Anda harus:
- Buat catatan di Artifact Analysis untuk menyimpan metadata tepercaya yang digunakan dalam proses otorisasi
- Buat attestor itu sendiri di project attestor dan kaitkan catatan yang Anda buat
- Tambahkan binding peran IAM untuk akun layanan project deployer ke penanda tangan
- Menetapkan izin pada catatan Analisis Artefak
Untuk tutorial ini, Anda memiliki satu pengautentikasi bernama test-attestor
dan catatan Analisis
Penampung bernama test-attestor-note
. Dalam skenario dunia nyata, Anda dapat memiliki
sejumlah pengautentikasi, yang masing-masing mewakili pihak yang berpartisipasi dalam
proses otorisasi untuk gambar.
Membuat catatan Artifact Analysis
Tetapkan variabel yang menyimpan nama pengautentikasi dan catatan Analisis Artefak Anda:
ATTESTOR_NAME=test-attestor NOTE_ID=test-attestor-note
Ganti:
- test-attestor: nama pemberi pengesahan pilihan Anda.
- test-attestor-note: nama catatan penguji pilihan Anda.
Buat file JSON di
/tmp/note_payload.json
yang menjelaskan catatan Analisis Penampung:cat > /tmp/note_payload.json << EOM { "name": "projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}", "attestation": { "hint": { "human_readable_name": "Attestor Note" } } } EOM
Buat catatan dengan mengirim permintaan HTTP ke REST API Analisis Artefak:
curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ --data-binary @/tmp/note_payload.json \ "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/?noteId=${NOTE_ID}"
Pastikan bahwa catatan telah dibuat:
curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}"
Membuat attestor
Sekarang, Anda dapat membuat pengautentikasi:
Buat attestor di Otorisasi Biner:
gcloud --project=${ATTESTOR_PROJECT_ID} \ container binauthz attestors create ${ATTESTOR_NAME} \ --attestation-authority-note=${NOTE_ID} \ --attestation-authority-note-project=${ATTESTOR_PROJECT_ID}
Pastikan bahwa pengautentikasi telah dibuat:
gcloud --project=${ATTESTOR_PROJECT_ID} \ container binauthz attestors list
Pengesah yang Anda buat belum dapat digunakan tanpa pasangan kunci PKIX terkait, yang Anda buat di bawah.
Menambahkan binding peran IAM untuk project deployer
Anda harus menambahkan binding peran IAM untuk project deployer ke pengautentikasi. Ini digunakan oleh Binary Authorization saat mengevaluasi kebijakan untuk menentukan apakah project memiliki izin untuk mengakses pengesahan terkait.
Untuk menambahkan binding peran IAM:
gcloud --project ${ATTESTOR_PROJECT_ID} \ container binauthz attestors add-iam-policy-binding \ "projects/${ATTESTOR_PROJECT_ID}/attestors/${ATTESTOR_NAME}" \ --member="serviceAccount:${DEPLOYER_SERVICE_ACCOUNT}" \ --role=roles/binaryauthorization.attestorsVerifier
Menetapkan izin pada catatan Analisis Artefak
Anda juga harus menetapkan izin pada catatan Analisis Artefak yang Anda buat agar dapat diakses oleh project deployer dan project attestor. Anda melakukannya dengan memperbarui kebijakan IAM untuk catatan guna menetapkan akses Pelihat ke akun layanan project.
Buat file JSON yang berisi informasi yang diperlukan untuk menetapkan kebijakan IAM di catatan Anda.
cat > /tmp/iam_request.json << EOM { 'resource': 'projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}', 'policy': { 'bindings': [ { 'role': 'roles/containeranalysis.notes.occurrences.viewer', 'members': [ 'serviceAccount:${ATTESTOR_SERVICE_ACCOUNT}', 'serviceAccount:${DEPLOYER_SERVICE_ACCOUNT}' ] } ] } } EOM
Tambahkan akun layanan dan peran akses yang diminta ke kebijakan IAM untuk catatan yang Anda buat:
curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ --data-binary @/tmp/iam_request.json \ "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}:setIamPolicy"
Menyiapkan kunci PKIX
Otorisasi Biner menggunakan kunci kriptografi untuk memverifikasi identitas penegaskan dengan aman. Hal ini memastikan bahwa hanya pihak terverifikasi yang dapat berpartisipasi dalam otorisasi image container. Pasangan kunci terdiri dari kunci pribadi, yang digunakan pengautentikasi untuk menandatangani pengesahan secara digital, dan kunci publik, yang Anda tambahkan ke pengautentikasi seperti yang disimpan oleh layanan Otorisasi Biner.
Dalam tutorial ini, Anda menggunakan Elliptic Curve Digital Signature Algorithm (ECDSA) yang direkomendasikan untuk membuat pasangan kunci. Anda juga dapat menggunakan kunci RSA atau PGP untuk menandatangani. Lihat Tujuan utama dan algoritma untuk mengetahui informasi selengkapnya tentang algoritma penandatanganan.
Kunci asimetris yang dibuat dan disimpan oleh Cloud Key Management Service (Cloud KMS) mematuhi PKIX. Lihat Membuat pengautentikasi menggunakan CLI untuk mengetahui informasi selengkapnya tentang penggunaan kunci PKIX dan Cloud KMS.
Membuat pasangan kunci
Pasangan kunci PKIX terdiri dari kunci pribadi, yang digunakan penanda tangan untuk menandatangani pengesahan secara digital, dan kunci publik, yang Anda tambahkan ke pengautentikasi. Pada waktu deployment, Otorisasi Biner menggunakan kunci publik ini untuk memverifikasi pengesahan yang ditandatangani oleh kunci pribadi.
Buat kunci pribadi:
Untuk membuat pasangan kunci PKIX asimetris lokal baru dan menyimpannya dalam file:
PKIX (Cloud KMS)
Langkah ini menunjukkan cara melakukan pengesahan menggunakan kunci yang dibuat dan disimpan di Cloud Key Management Service.
Siapkan variabel lingkungan untuk menyimpan informasi tentang pasangan kunci seperti yang dikelola oleh Cloud KMS:
Jika sudah memiliki pasangan kunci, Anda dapat menetapkan variabel lingkungan ini dan melewati langkah berikutnya.
KMS_KEY_PROJECT_ID=KMS_KEY_PROJECT_ID KMS_KEY_LOCATION=KMS_KEY_LOCATION KMS_KEYRING_NAME=KMS_KEYRING_NAME KMS_KEY_NAME=KMS_KEY_NAME KMS_KEY_VERSION=KMS_KEY_VERSION
Ganti kode berikut:
- KMS_KEY_PROJECT_ID: ID project tempat kunci disimpan
- KMS_KEY_LOCATION: lokasi kunci
- KMS_KEYRING_NAME: nama key ring
- KMS_KEY_NAME: nama kunci
- KMS_KEY_VERSION: versi kunci
[Opsional] Siapkan kunci KMS:
Buat kunci KMS yang kunci publiknya dapat disimpan di pengautentikasi. Langkah ini juga menyiapkan variabel lingkungan yang Anda gunakan di bawah.
Untuk membuat kunci dan menyiapkan variabel lingkungan:
KMS_KEY_PROJECT_ID=${PROJECT_ID} KMS_KEYRING_NAME=my-binauthz-keyring KMS_KEY_NAME=my-binauthz-kms-key-name KMS_KEY_LOCATION=global KMS_KEY_PURPOSE=asymmetric-signing KMS_KEY_ALGORITHM=ec-sign-p256-sha256 KMS_PROTECTION_LEVEL=software KMS_KEY_VERSION=1
Buat key ring KMS:
gcloud kms keyrings create ${KMS_KEYRING_NAME} \ --location ${KMS_KEY_LOCATION} \ --project ${KMS_KEY_PROJECT_ID}
Buat kunci:
gcloud kms keys create ${KMS_KEY_NAME} \ --location ${KMS_KEY_LOCATION} \ --keyring ${KMS_KEYRING_NAME} \ --purpose ${KMS_KEY_PURPOSE} \ --default-algorithm ${KMS_KEY_ALGORITHM} \ --protection-level ${KMS_PROTECTION_LEVEL} \ --project ${KMS_KEY_PROJECT_ID}
Untuk informasi selengkapnya tentang cara membuat kunci KMS, lihat Membuat kunci asimetris.
Tambahkan kunci publik ke attestor:
gcloud --project="${ATTESTOR_PROJECT_ID}" \ container binauthz attestors public-keys add \ --attestor="${ATTESTOR_NAME}" \ --keyversion-project="${KMS_KEY_PROJECT_ID}" \ --keyversion-location="${KMS_KEY_LOCATION}" \ --keyversion-keyring="${KMS_KEYRING_NAME}" \ --keyversion-key="${KMS_KEY_NAME}" \ --keyversion="${KMS_KEY_VERSION}"
PKIX (kunci lokal)
Untuk membuat kunci pribadi, jalankan perintah berikut:
PRIVATE_KEY_FILE="/tmp/ec_private.pem" openssl ecparam -genkey -name prime256v1 -noout -out ${PRIVATE_KEY_FILE}
PRIVATE_KEY_FILE adalah nama file yang berisi kunci pribadi yang disimpan di pengautentikasi.
Ekstrak kunci publik dari kunci pribadi dan simpan dalam file:
PUBLIC_KEY_FILE="/tmp/ec_public.pem" openssl ec -in ${PRIVATE_KEY_FILE} -pubout -out ${PUBLIC_KEY_FILE}
PUBLIC_KEY_FILE adalah nama file yang berisi kunci publik yang disimpan di pengautentikasi.
Untuk menambahkan kunci publik yang Anda ekspor ke attestor, jalankan kode berikut.
gcloud --project="${ATTESTOR_PROJECT_ID}" \ container binauthz attestors public-keys add \ --attestor="${ATTESTOR_NAME}" \ --pkix-public-key-file=${PUBLIC_KEY_FILE} \ --pkix-public-key-algorithm=ecdsa-p256-sha256
Otorisasi Biner menggunakan kunci publik di pengautentikasi untuk memverifikasi pengesahan.
Mengonfigurasi kebijakan
Sekarang, Anda dapat mengonfigurasi kebijakan di project deployer. Pada langkah ini, Anda mengekspor file YAML kebijakan ke sistem lokal dan mengubah aturan default sehingga memerlukan pengesahan oleh pengautentikasi yang Anda tentukan di atas.
Untuk mengonfigurasi kebijakan:
Buat file kebijakan baru yang mengizinkan image sistem yang dikelola Google, menetapkan
evaluationMode
keREQUIRE_ATTESTATION
, dan menambahkan node bernamarequireAttestationsBy
yang mereferensikan pengautentikasi yang Anda buat:cat > /tmp/policy.yaml << EOM globalPolicyEvaluationMode: ENABLE defaultAdmissionRule: evaluationMode: REQUIRE_ATTESTATION enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG requireAttestationsBy: - projects/${ATTESTOR_PROJECT_ID}/attestors/${ATTESTOR_NAME} name: projects/${DEPLOYER_PROJECT_ID}/policy EOM
Impor file YAML kebijakan ke Otorisasi Biner:
gcloud --project=${DEPLOYER_PROJECT_ID} \ container binauthz policy import /tmp/policy.yaml
Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan, lihat Mengonfigurasi Kebijakan Menggunakan CLI.
Menguji kebijakan
Dalam tutorial ini, Anda akan membuat pengesahan, misalnya, image "Hello World!" publik dari Container Registry dan Artifact Registry. Awalnya, penegak memblokir deployment gambar karena pengesahan yang diperlukan tidak ada.
Untuk mencoba men-deploy image:
Container Registry
kubectl run hello-server --image gcr.io/google-samples/hello-app:1.0 --port 8080
Artifact Registry
kubectl run hello-server --image us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 --port 8080
Sekarang, verifikasi bahwa deployment diblokir oleh Otorisasi Biner:
kubectl get pods
Perintah ini akan mencetak pesan berikut, yang menunjukkan bahwa image tidak di-deploy:
No resources found.
Anda bisa mendapatkan detail lebih lanjut tentang deployment:
kubectl get event --template \ '{{range.items}}{{"\033[0;36m"}}{{.reason}}:{{"\033[0m"}}\{{.message}}{{"\n"}}{{end}}'
Anda akan melihat respons yang menyerupai berikut:
FailedCreate: Error creating: pods POD_NAME is forbidden: admission webhook "imagepolicywebhook.image-policy.k8s.io" denied the request: Image IMAGE_NAME denied by Binary Authorization default admission rule. Image IMAGE_NAME denied by attestor ATTESTOR_NAME: No attestations found
Dalam output ini:
- POD_NAME: nama Pod.
- IMAGE_NAME: nama image.
- ATTESTOR_NAME: nama pengautentikasi.
Pastikan untuk menghapus deployment agar Anda dapat melanjutkan ke langkah berikutnya:
kubectl delete deployment hello-server
Membuat pengesahan
Pengesahan adalah pernyataan oleh pengautentikasi bahwa proses yang diperlukan dalam pipeline Anda telah selesai dan bahwa image penampung yang dimaksud diberi otorisasi untuk di-deploy. Pengesahan itu sendiri adalah data yang ditandatangani secara digital yang berisi jalur lengkap ke versi image seperti yang disimpan di registry image container Anda, serta identitas pengautentikasi.
Dalam tutorial ini, pengesahan Anda hanya menyatakan bahwa Anda mengizinkan image untuk di-deploy. Anda membuat pengesahan di project pengesahan.
Untuk membuat pengesahan:
Tetapkan variabel yang menyimpan jalur registry dan ringkasan image:
Container Registry
IMAGE_PATH="gcr.io/google-samples/hello-app" IMAGE_DIGEST="sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4"
Artifact Registry
IMAGE_PATH="us-docker.pkg.dev/google-samples/containers/gke/hello-app" IMAGE_DIGEST="sha256:37e5287945774f27b418ce567cd77f4bbc9ef44a1bcd1a2312369f31f9cce567" IMAGE_TO_ATTEST=${IMAGE_PATH}@${IMAGE_DIGEST}
Membuat pengesahan
Cloud KMS PKIX
Untuk membuat pengesahan menggunakan kunci Cloud KMS, jalankan perintah berikut:
gcloud beta container binauthz attestations sign-and-create \ --project="${PROJECT_ID}" \ --artifact-url="${IMAGE_TO_ATTEST}" \ --attestor="${ATTESTOR_NAME}" \ --attestor-project="${PROJECT_ID}" \ --keyversion-project="${KMS_KEY_PROJECT_ID}" \ --keyversion-location="${KMS_KEY_LOCATION}" \ --keyversion-keyring="${KMS_KEYRING_NAME}" \ --keyversion-key="${KMS_KEY_NAME}" \ --keyversion="${KMS_KEY_VERSION}"
PKIX (kunci lokal)
Untuk membuat pengesahan menggunakan kunci lokal, lakukan langkah-langkah berikut:
Buat payload pengesahan:
gcloud --project=${ATTESTATION_PROJECT_ID} \ container binauthz create-signature-payload \ --artifact-url=${IMAGE_TO_ATTEST} > /tmp/generated_payload.json
File JSON payload memiliki konten berikut:
Container Registry
{ "critical": { "identity": { "docker-reference": "gcr.io/google-samples/hello-app" }, "image": { "docker-manifest-digest": "sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea 882eb722c3be4" }, "type": "Google cloud binauthz container signature" } }
Artifact Registry
{ "critical": { "identity": { "docker-reference": "us-docker.pkg.dev/google-samples/containers/gke/hello-app" }, "image": { "docker-manifest-digest": "sha256:37e5287945774f27b418ce567cd77f4bbc9ef44a1bcd1a2312369f31f9cce567" }, "type": "Google cloud binauthz container signature" } }
Tanda tangani payload.
Jika menggunakan file PKIX lokal, tanda tangani payload dengan kunci pribadi PKIX lokal Anda dan hasilkan file tanda tangan:
openssl dgst -sha256 -sign ${PRIVATE_KEY_FILE} /tmp/generated_payload.json > /tmp/ec_signature
File output adalah versi ditandatangani dari file JSON payload yang Anda buat di atas.
Dapatkan ID kunci publik dari attestor.
Anda dapat melihat ID kunci publik kapan saja menggunakan perintah:
gcloud container binauthz attestors describe ATTESTOR_NAME
.Untuk menyimpan ID kunci publik Anda dalam variabel lingkungan, masukkan perintah ini:
PUBLIC_KEY_ID=$(gcloud container binauthz attestors describe ${ATTESTOR_NAME} \ --format='value(userOwnedGrafeasNote.publicKeys[0].id)' --project ${ATTESTOR_PROJECT_ID})
Buat dan validasi pengesahan:
gcloud container binauthz attestations create \ --project="${ATTESTATION_PROJECT_ID}" \ --artifact-url="${IMAGE_TO_ATTEST}" \ --attestor="projects/${ATTESTOR_PROJECT_ID}/attestors/${ATTESTOR_NAME}" \ --signature-file=/tmp/ec_signature \ --public-key-id="${PUBLIC_KEY_ID}" \ --validate
Flag
validate
memeriksa apakah pengesahan dapat diverifikasi oleh penegasnya yang Anda konfigurasi dalam kebijakan.
Pastikan bahwa pengesahan telah dibuat:
gcloud --project=${ATTESTATION_PROJECT_ID} \ container binauthz attestations list \ --attestor=$ATTESTOR_NAME --attestor-project=$ATTESTOR_PROJECT_ID
Untuk informasi selengkapnya tentang cara membuat pengesahan, lihat Membuat Pengesahan.
Menguji ulang kebijakan
Uji kebijakan dengan men-deploy contoh image container ke cluster.
Kali ini, Anda harus men-deploy image menggunakan ringkasan, bukan tag seperti
1.0
atau latest
, karena Otorisasi Biner menggunakan ringkasan untuk mencari
atestasi. Di sini, Otorisasi Biner memungkinkan image di-deploy karena
image memiliki pengesahan terkait.
Untuk men-deploy image:
kubectl run hello-server --image ${IMAGE_TO_ATTEST} --port 8080
Untuk memverifikasi bahwa image telah di-deploy:
kubectl get pods
Perintah ini akan mencetak pesan yang mirip dengan berikut ini, yang menunjukkan bahwa deployment berhasil:
NAME READY STATUS RESTARTS AGE hello-server-579859fb5b-h2k8s 1/1 Running 0 1m
Setelah berhasil men-deploy image container dan memverifikasi bahwa penyiapan berfungsi, Anda dapat menghapus cluster yang dibuat di GKE:
gcloud --project=${DEPLOYER_PROJECT_ID} \ container clusters delete \ --zone=us-central1-a \ test-cluster
Pembersihan
Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.
Hapus cluster yang Anda buat di GKE:
gcloud container clusters delete \ --zone=us-central1-a \ test-cluster
Anda juga dapat menghapus project Google Cloud yang dibuat untuk tutorial ini.