Convalida continua (CV) è una funzionalità di Autorizzazione binaria che controlla regolarmente le immagini container associate ai pod in esecuzione su Google Kubernetes Engine (GKE) per verificare la conformità al criterio di Autorizzazione binaria.
Mentre Autorizzazione binaria fornisce la convalida una tantum al momento del deployment, CV estende la convalida all'ambiente post-deployment. Con l'autorizzazione binaria e il CV abilitati, la conformità dei criteri viene convalidata durante l'intero ciclo di vita del pod. Il curriculum è utile nei seguenti scenari:
Modifica del criterio di Autorizzazione binaria dopo il deployment di un'immagine container. Le modifiche ai criteri non influiscono sui pod in esecuzione. I pod continuano a essere eseguiti anche se il criterio aggiornato ora blocca il deployment della stessa immagine container. CV ti informa dell'esecuzione di pod che violano i criteri appena aggiornati.
Prova: con la funzionalità di prova e CV abilitata, Autorizzazione binaria garantisce che venga eseguito il deployment di un'immagine container, ma registra regolarmente la conformità ai criteri.
Break di emergenza: se viene eseguito il deployment di un pod con deployment di emergenza, l'applicazione dei criteri viene ignorata. Al momento del deployment, Autorizzazione binaria registra un evento in Cloud Audit Logs. CV, tuttavia, continua a registrare regolarmente pod che violano i criteri, compresi i pod di cui è stato eseguito il deployment con deployment di emergenza.
Abilita CV sui progetti che eseguono GKE. CV controlla quindi tutti i pod in esecuzione su tutti i cluster del progetto, inclusi i cluster per cui non è abilitata Autorizzazione binaria. Il CV non termina l'esecuzione dei pod poiché controlla solo i metadati.
Il controllo viene eseguito almeno ogni 24 ore. Durante il controllo, il CV recupera un elenco di immagini associate a ogni pod eseguito nell'intervallo dal controllo precedente. CV verifica quindi che le informazioni sull'immagine del container associate al pod siano conformi al criterio di Autorizzazione binaria. Quindi, registra le violazioni e altri risultati in Cloud Logging.
Il CV continua a registrare le violazioni dei criteri per i pod non conformi fino alla terminazione del pod. I pod terminati durante l'intervallo tra i controlli vengono registrati durante il controllo successivo.
Passaggi successivi
- Scopri come utilizzare CV.
- Visualizza gli eventi CV in Cloud Logging.
- Scopri di più sull'autorizzazione binaria.