Richtlinie zur Binärautorisierung mit Cloud Run konfigurieren

Diese Kurzanleitung zeigt, wie Sie in Cloud Run eine grundlegende Regel in einer Richtlinie für die Binärautorisierung konfigurieren und testen.

In dieser Kurzanleitung verwenden Sie die Binärautorisierung, um die Bereitstellung eines Cloud Run-Dienstes zu steuern.

Hinweis

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  4. Cloud Run, Artifact Registry, Binary Authorization APIs aktivieren.

    Aktivieren Sie die APIs

  5. Installieren Sie die Google Cloud CLI.

  6. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init
    7.

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  9. Cloud Run, Artifact Registry, Binary Authorization APIs aktivieren.

    Aktivieren Sie die APIs

  10. Installieren Sie die Google Cloud CLI.

  11. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init
    12.

Dienst mit aktivierter Binärautorisierung erstellen

So erstellen Sie einen Cloud Run-Dienst mit aktivierter Binärautorisierung:

  1. Öffnen Sie Cloud Run.

  2. Klicken Sie auf Dienst erstellen. Das Formular Dienst erstellen wird aufgerufen:

    Image

    Führen Sie im angezeigten Formular die folgenden Schritte aus:

    1. Wählen Sie Cloud Run als Entwicklungsplattform aus.
    2. Wählen Sie die Region aus, in der sich Ihr Dienst befinden soll.
    3. Geben Sie den Namen an, den Sie dem Dienst geben möchten, z. B. test-service.

    4. Klicken Sie auf Weiter, um zur Seite Erste Überarbeitung des Dienstes konfigurieren zu gelangen.

      Tun Sie im Formular Folgendes:

      1. Wählen Sie Überarbeitung aus dem vorhandenen Container-Image bereitstellen.

      2. Verwenden Sie us-docker.pkg.dev/cloudrun/container/hello als Container-Image.

      3. Maximieren Sie den Abschnitt Erweiterte Einstellungen.

      4. Klicken Sie auf die Registerkarte Sicherheit.

      5. Klicken Sie auf das Kästchen Container-Bereitstellung mit Binärautorisierung prüfen:

        Image

        Standardmäßig lässt die Richtlinie für die Binärautorisierung alle Images zu.

      6. Klicken Sie auf Weiter, um zur Seite Konfigurieren, wie dieser Dienst ausgelöst wird zu gelangen:

        Image

      7. Wählen Sie Nicht authentifizierte Aufrufe zulassen aus, um das Ergebnis in Ihrem Webbrowser zu öffnen

      8. Klicken Sie auf Erstellen, um das Image in Cloud Run bereitzustellen. Warten Sie, bis die Bereitstellung abgeschlossen ist.

      Ihr Dienst wurde bereitgestellt. Überarbeitungen unterliegen der Durchsetzung der Richtlinie für die Binärautorisierung.

Richtlinie für die Binärautorisierung aktualisieren, um alle Images zu verbieten

Die Richtlinie für die Binärautorisierung enthält eine Standardregel. Diese Regel steuert die Bereitstellung des gerade erstellten Cloud Run-Dienstes.

Standardmäßig lässt die Regel zu, dass alle Container-Images bereitgestellt werden.

So rufen Sie die Standardrichtlinie auf:

  1. Zur Binärautorisierung

    Richtlinien-Tab mit der Standardregel

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Beachten Sie, dass unter Projektstandardregel die Option Alle Images zulassen ausgewählt ist.

    Option zur Auswahl eines Standardregeltyps

Ändern Sie nun die Richtlinie, um die Bereitstellung aller Images zu verhindern. Gehen Sie dazu so vor:

  1. Rufen Sie in der Google Cloud Console die Seite Binärautorisierung auf.

    Zur Binärautorisierung

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Wählen Sie unter Standardregel die Option Alle Images nicht zulassen aus.

    Option zur Auswahl eines Standardregeltyps

  4. Klicken Sie auf Save Policy (Richtlinie speichern).

Stellen Sie den Dienst neu bereit.

Testen Sie die aktualisierte Richtlinie, indem Sie eine neue Überarbeitung bereitstellen.

So stellen Sie das Image bereit:

  1. Öffnen Sie Cloud Run.

  2. Klicken Sie auf den Namen des Dienstes, den Sie zuvor in dieser Anleitung bereitgestellt haben.

  3. Klicken Sie auf „Neue Überarbeitung bearbeiten und bereitstellen“.

  4. Klicken Sie auf Bereitstellen.

Möglicherweise erhalten Sie eine Fehlermeldung, die so aussieht:

Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

Richtlinie zurücksetzen, um alle Images zuzulassen

So setzen Sie die Richtlinie zurück, um alle Images zuzulassen:

  1. Rufen Sie in der Google Cloud Console die Seite Binärautorisierung auf.

    Zur Binärautorisierung

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Wählen Sie Alle Images zulassen aus.

  4. Klicken Sie auf Richtlinie speichern, um die Richtlinie zu speichern.

Sie können jetzt Images bereitstellen.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:

So löschen Sie den in Cloud Run erstellten Dienst:

  1. Öffnen Sie Cloud Run.

  2. Klicken Sie in der Übersicht das Kästchen des zu löschenden Dienstes an.

  3. Klicken Sie auf Löschen. Dadurch werden alle Überarbeitungen des Dienstes gelöscht.

Informationen zum Deaktivieren der Binärautorisierung finden Sie unter Binärautorisierung deaktivieren.

Nächste Schritte