La validation continue (CV, Anthos Clusters on VMware) est une fonctionnalité de l'autorisation binaire qui vérifie régulièrement les images de conteneur associées aux pods exécutés sur Google Kubernetes Engine (GKE) afin de garantir leur conformité continue avec la stratégie d'autorisation binaire.
Alors que l'autorisation binaire fournit une validation unique au moment du déploiement, la CV étend la validation à l'environnement post-déploiement. Lorsque l'autorisation binaire et la CV sont activés, la conformité avec la stratégie est validée tout au long du cycle de vie des pods. La CV est utile dans les scénarios suivants :
Modifiez la stratégie d'autorisation binaire après avoir déployé une image de conteneur. Les modifications des stratégies n'affectent pas les pods en cours d'exécution. Les pods continuent de s'exécuter, même si la stratégie mise à jour bloque désormais le déploiement de la même image de conteneur. La CV vous informe que vous exécutez des pods qui ne respectent pas la stratégie nouvellement mise à jour.
Simulation : avec la simulation et la CV activées, l'autorisation binaire garantit le déploiement d'une image de conteneur, mais enregistre régulièrement la conformité avec les stratégies.
Bris de glace : si un pod est déployé avec le mode "bris de glace", il contourne l'application des règles. Au moment du déploiement, l'autorisation binaire consigne un événement dans Cloud Audit Logs. La CV continue toutefois à consigner régulièrement les pods qui ne respectent pas les règles, y compris ceux déployés avec le mode "bris de glace".
Vous activez la CV sur les projets qui exécutent GKE. La CV vérifie ensuite tous les pods exécutés sur tous les clusters du projet, y compris ceux pour lesquels l'autorisation binaire n'est pas activée. La CV n'arrête pas les pods en cours d'exécution, car elle ne vérifie que les métadonnées.
Cette vérification a lieu au moins une fois toutes les 24 heures. Lors du test, la CV récupère une liste d'images associées à chaque pod qui a été exécuté dans l'intervalle depuis la vérification précédente. La CV vérifie ensuite que les informations d'image de conteneur associées au pod respectent la stratégie d'autorisation binaire. La CV enregistre ensuite les violations et d'autres résultats dans Cloud Logging.
La CV continue à consigner les cas de violation des règles pour les pods non conformes jusqu'à l'arrêt du pod. Les pods arrêtés pendant l'intervalle entre les vérifications sont consignés lors de la vérification suivante.
Étapes suivantes
- Découvrez comment utiliser la CV.
- Afficher les événements de CV dans Cloud Logging.
- Découvrez l'autorisation binaire.