継続的検証(CV)は、Binary Authorization ポリシーへの遵守を継続するために、Google Kubernetes Engine(GKE)で実行され、Pod に関連付けられたコンテナ イメージを定期的にチェックする Binary Authorization の機能です。
Binary Authorization はデプロイ時に 1 回限りの検証を行いますが、CV はデプロイ後の環境も検証します。Binary Authorization と CV の両方を有効にすると、Pod のライフサイクル全体でポリシーの遵守状況を確認できます。CV は次のような場合に役立ちます。
コンテナ イメージをデプロイした後に、Binary Authorization ポリシーを変更する。ポリシーの変更は実行中の Pod に影響しません。更新されたポリシーによって同じコンテナ イメージのデプロイがブロックされても、Pod は引き続き実行されます。CV は、新しく更新されたポリシーに違反する Pod の実行を通知します。
ドライラン: ドライランと CV を有効にすると、Binary Authorization はコンテナ イメージをデプロイしますが、ポリシーの遵守状況を定期的にロギングします。
ブレークグラス: Pod にブレークグラスがデプロイされている場合、ポリシーの適用は行われません。デプロイ時に、Binary Authorization は 1 つのイベントを Cloud Audit Logs に記録します。ただし、CV は引き続きポリシー違反の Pod(ブレークグラスでデプロイされた Pod を含む)を定期的にロギングします。
GKE を実行するプロジェクトで CV を有効にします。CV は、プロジェクト内のクラスタで実行されているすべての Pod を確認します(Binary Authorization が有効になっていないクラスタも対象です)。CV はメタデータのみを確認するため、実行中の Pod を終了しません。
このチェックは少なくとも 24 時間ごとに行われます。チェック中に、CV は各 Pod に関連付けられ、前回のチェック以降に実行されたイメージのリストを取得します。CV は、Pod に関連付けられたコンテナ イメージ情報が Binary Authorization ポリシーを遵守していることを確認します。CV は、違反やその他の検出結果を Cloud Logging に記録します。
CV は、非遵守 Pod のポリシー違反をロギングし、Pod を終了します。チェック間に終了した Pod は、次のチェックでログに記録されます。
次のステップ
- CV の使用方法を学習する。
- Cloud Logging で CV イベントを表示する。
- Binary Authorization について学習する。