継続的検証の概要

継続的検証(CV)は、Binary Authorization の機能で、Binary Authorization ポリシーへの準拠を継続するために Google Kubernetes Engine(GKE)で実行されている、Pod に関連付けられたコンテナ イメージを定期的にチェックします。

Binary Authorization はデプロイ時に 1 回限りの検証を実施しますが、CV はデプロイ後の環境に検証対象を拡張します。Binary Authorization と CV の両方を有効にすると、Pod のライフサイクル全体でポリシーへの準拠が検証されます。CV は、次のようなシナリオで有用です。

  • コンテナ イメージをデプロイした後、Binary Authorization ポリシーを変更します。ポリシーの変更は、実行中の Pod には影響しません。更新されたポリシーが同じコンテナ イメージのデプロイをブロックしている場合でも、Pod は実行を継続します。CV は、新しく更新されたポリシーに違反する Pod を実行することを通知します。

  • ドライラン: ドライランと CV を有効にすると、Binary Authorization はコンテナ イメージがデプロイされていることを保証しますが、ポリシーの遵守を定期的に記録します。

  • ブレークグラス: ブレークグラスでデプロイされた Pod では、ポリシーの適用がバイパスされます。デプロイ時に、Binary Authorization は 1 つのイベントを Cloud Audit Logs に記録します。ただし、CV はブレークグラスでデプロイされた Pod を含む、ポリシー違反 Pod を定期的にログに記録します。

GKE を実行するプロジェクトで CV を有効にします。CV は、Binary Authorization が有効になっていないクラスタを含む、プロジェクト内のすべてのクラスタで実行されているすべての Pod を確認します。

チェックは少なくとも 24 時間ごとに行われます。このチェックでは、CV は前回のチェック以降の間隔で実行されていた各 Pod に関連付けられたイメージのリストを取得します。CV は、Pod に関連付けられたコンテナ イメージ情報が Binary Authorization ポリシーを満たしていることを確認します。その後、CV は違反やその他の知見を Cloud Logging に記録します。

CV は非遵守の Pod のポリシー違反をログに記録し、Pod を終了します。次回のチェックでは、チェックの間隔中に終了した Pod がログに記録されます。

次のステップ