Présentation de la validation continue

La validation continue (CV, Anthos Clusters on VMware) est une fonctionnalité de l'autorisation binaire qui vérifie régulièrement les images de conteneur associées aux pods exécutés sur Google Kubernetes Engine (GKE) afin de garantir leur conformité continue avec la stratégie d'autorisation binaire.

Alors que l'autorisation binaire fournit une validation unique au moment du déploiement, la CV étend la validation à l'environnement post-déploiement. Lorsque l'autorisation binaire et la CV sont activés, la conformité avec la stratégie est validée tout au long du cycle de vie des pods. La CV est utile dans les scénarios suivants :

  • Modifiez la stratégie d'autorisation binaire après avoir déployé une image de conteneur. Les modifications des règles n'affectent pas les pods en cours d'exécution. Les pods continuent de s'exécuter même si la stratégie mise à jour bloque désormais le déploiement de la même image de conteneur. La CV vous informe que vous exécutez des pods qui ne respectent pas la stratégie nouvellement mise à jour.

  • Simulation : avec la simulation et la CV activées, l'autorisation binaire garantit le déploiement d'une image de conteneur, mais enregistre régulièrement la conformité avec les stratégies.

  • Bris de glace : si un pod est déployé avec le mode "bris de glace", il contourne l'application des règles. Au moment du déploiement, l'autorisation binaire consigne un événement dans Cloud Audit Logs. La CV continue toutefois à consigner régulièrement les pods qui ne respectent pas les règles, y compris ceux déployés avec le mode "bris de glace".

Vous activez la CV sur les projets qui exécutent GKE. La CV vérifie ensuite tous les pods exécutés sur tous les clusters du projet, y compris ceux pour lesquels l'autorisation binaire n'est pas activée.

Cette vérification a lieu au moins toutes les 24 heures. Lors du test, la CV récupère une liste d'images associées à chaque pod qui a été exécuté dans l'intervalle écoulé depuis la vérification précédente. Elle vérifie ensuite que les informations d'image de conteneur associées au pod respectent la stratégie d'autorisation binaire. Elle enregistre ensuite les violations et d'autres résultats dans Cloud Logging.

La CV continue à consigner les cas de non-respect des règles pour les pods non conformes jusqu'à la fin du pod. Les pods arrêtés pendant l'intervalle entre les vérifications sont consignés lors de la vérification suivante.

Étape suivante