Richtlinie zur Binärautorisierung mit Cloud Run konfigurieren

Diese Kurzanleitung zeigt, wie Sie in Cloud Run eine grundlegende Regel in einer Richtlinie für die Binärautorisierung konfigurieren und testen.

In dieser Kurzanleitung verwenden Sie die Binärautorisierung, um die Bereitstellung eines Cloud Run-Dienstes zu steuern.

Hinweis

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Dienst mit aktivierter Binärautorisierung erstellen

So erstellen Sie einen Cloud Run-Dienst mit aktivierter Binärautorisierung:

  1. Öffnen Sie Cloud Run.

  2. Klicken Sie auf Dienst erstellen. Das Formular Dienst erstellen wird aufgerufen:

    Bild

    Führen Sie im angezeigten Formular die folgenden Schritte aus:

    1. Wählen Sie Cloud Run als Entwicklungsplattform aus.
    2. Wählen Sie die Region aus, in der sich Ihr Dienst befinden soll.
    3. Geben Sie den Namen an, den Sie dem Dienst geben möchten, z. B. test-service.

    4. Klicken Sie auf Weiter, um zur Seite Erste Überarbeitung des Dienstes konfigurieren zu gelangen.

      Tun Sie im Formular Folgendes:

      1. Wählen Sie Überarbeitung aus dem vorhandenen Container-Image bereitstellen.

      2. Verwenden Sie us-docker.pkg.dev/cloudrun/container/hello als Container-Image.

      3. Maximieren Sie den Abschnitt Erweiterte Einstellungen.

      4. Klicken Sie auf die Registerkarte Sicherheit.

      5. Klicken Sie auf das Kästchen Container-Bereitstellung mit Binärautorisierung prüfen:

        Bild

        Standardmäßig lässt die Richtlinie für die Binärautorisierung alle Images zu.

      6. Klicken Sie auf Weiter, um zur Seite Konfigurieren, wie dieser Dienst ausgelöst wird zu gelangen:

        Bild

      7. Wählen Sie Nicht authentifizierte Aufrufe zulassen aus, um das Ergebnis in Ihrem Webbrowser zu öffnen

      8. Klicken Sie auf Erstellen, um das Image in Cloud Run bereitzustellen. Warten Sie, bis die Bereitstellung abgeschlossen ist.

      Ihr Dienst wurde bereitgestellt. Überarbeitungen unterliegen der Durchsetzung der Richtlinie für die Binärautorisierung.

Richtlinie für die Binärautorisierung aktualisieren, um alle Images zu verbieten

Die Richtlinie für die Binärautorisierung enthält eine Standardregel. Diese Regel steuert die Bereitstellung des gerade erstellten Cloud Run-Dienstes.

Standardmäßig lässt die Regel zu, dass alle Container-Images bereitgestellt werden.

So rufen Sie die Standardrichtlinie auf:

  1. Zur Binärautorisierung

    Richtlinien-Tab mit der Standardregel

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Beachten Sie, dass unter Projektstandardregel die Option Alle Images zulassen ausgewählt ist.

    Option zur Auswahl eines Standardregeltyps

Ändern Sie nun die Richtlinie, um die Bereitstellung aller Images zu verhindern. Gehen Sie dazu so vor:

  1. Rufen Sie in der Google Cloud Console die Seite Binärautorisierung auf.

    Zur Binärautorisierung

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Wählen Sie unter Standardregel die Option Alle Images nicht zulassen aus.

    Option zur Auswahl eines Standardregeltyps

  4. Klicken Sie auf Save Policy (Richtlinie speichern).

Stellen Sie den Dienst neu bereit.

Testen Sie die aktualisierte Richtlinie, indem Sie eine neue Überarbeitung bereitstellen.

So stellen Sie das Image bereit:

  1. Öffnen Sie Cloud Run.

  2. Klicken Sie auf den Namen des Dienstes, den Sie zuvor in dieser Anleitung bereitgestellt haben.

  3. Klicken Sie auf „Neue Überarbeitung bearbeiten und bereitstellen“.

  4. Klicken Sie auf Bereitstellen.

Möglicherweise erhalten Sie eine Fehlermeldung, die so aussieht:

Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

Richtlinie zurücksetzen, um alle Images zuzulassen

So setzen Sie die Richtlinie zurück, um alle Images zuzulassen:

  1. Rufen Sie in der Google Cloud Console die Seite Binärautorisierung auf.

    Zur Binärautorisierung

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Wählen Sie Alle Images zulassen aus.

  4. Klicken Sie auf Richtlinie speichern, um die Richtlinie zu speichern.

Sie können jetzt Images bereitstellen.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:

So löschen Sie den in Cloud Run erstellten Dienst:

  1. Öffnen Sie Cloud Run.

  2. Klicken Sie in der Übersicht das Kästchen des zu löschenden Dienstes an.

  3. Klicken Sie auf Löschen. Dadurch werden alle Überarbeitungen des Dienstes gelöscht.

Informationen zum Deaktivieren der Binärautorisierung finden Sie unter Binärautorisierung deaktivieren.

Nächste Schritte