Visão geral da validação contínua

A validação contínua (CV, na sigla em inglês) é um recurso da autorização binária que verifica regularmente as imagens de contêiner associadas aos pods em execução no Google Kubernetes Engine (GKE) para manter a conformidade contínua com a política de autorização binária.

Enquanto a autorização binária fornece uma validação única no momento da implantação, a CV estende a validação para o ambiente pós-implantação. Com a autorização binária e a CV ativadas, a conformidade com a política será validada em todo o ciclo de vida do pod. A CV é útil nos cenários de:

  • Alteração da política de autorização binária após a implantação de uma imagem de contêiner. As alterações de política não afetam a execução de pods. Os pods continuarão em execução mesmo se a política atualizada agora bloquear a implantação da mesma imagem de contêiner. A CV informa você sobre a execução de pods que violam a política recém-atualizada.

  • Teste: com teste e CV ativados, a autorização binária garante que uma imagem de contêiner seja implantada, mas registra regularmente a conformidade com a política.

  • implantação forçada: se a implantação de um pod for forçada, ele irá ignorar a aplicação da política. No momento da implantação, a autorização binária registra um evento nos registros de auditoria do Cloud. A CV, no entanto, continua a registrar regularmente pods que violam as políticas, incluindo os pods implantados com implantação forçada.

Ative a CV em projetos que executam o GKE. A CV verifica todos os pods em execução em todos os clusters no projeto, incluindo os clusters para os quais a autorização binária não está ativada.

A verificação ocorre pelo menos a cada 24 horas. Durante a verificação, a CV recupera uma lista de imagens associadas a cada pod executado no intervalo desde a verificação anterior. A CV verifica se as informações da imagem do contêiner associadas ao pod atendem à política de autorização binária. Na sequência, a CV registra as violações e outras descobertas no Cloud Logging.

A CV continua a registrar violações de política para pods que não estão em conformidade até o encerramento do pod. Os pods encerrados durante o intervalo entre as verificações são registrados durante a próxima verificação.

A seguir