Mengonfigurasi kebijakan Otorisasi Biner dengan Cloud Run

Panduan memulai ini menunjukkan cara mengonfigurasi dan menguji aturan dasar dalam kebijakan Otorisasi Biner dengan Cloud Run.

Dalam panduan memulai ini, Anda akan menggunakan Otorisasi Biner untuk mengontrol deployment layanan Cloud Run.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Membuat layanan dengan Otorisasi Biner diaktifkan

Untuk membuat layanan Cloud Run dengan Otorisasi Biner yang diaktifkan, lakukan hal berikut:

  1. Buka Cloud Run

  2. Klik Buat layanan untuk menampilkan formulir Buat layanan:

    gambar

    Dalam formulir yang ditampilkan, lakukan hal berikut:

    1. Pilih Cloud Run sebagai platform pengembangan Anda.
    2. Pilih region tempat Anda ingin layanan berada.
    3. Tentukan nama yang ingin Anda berikan ke layanan—misalnya, test-service.

    4. Klik Next untuk melanjutkan ke halaman Mengonfigurasi revisi pertama layanan.

      Dalam formulir, lakukan hal berikut:

      1. Pilih Men-deploy satu revisi dari image container yang sudah ada.

      2. Gunakan us-docker.pkg.dev/cloudrun/container/hello sebagai image container.

      3. Luaskan bagian Advanced settings.

      4. Klik tab Keamanan.

      5. Centang kotak Verifikasi deployment penampung dengan Otorisasi Biner:

        gambar

        Secara default, kebijakan Otorisasi Biner mengizinkan semua image untuk di-deploy.

      6. Klik Next untuk melanjutkan ke halaman Configure how this service is triggered:

        gambar

      7. Pilih Izinkan pemanggilan yang tidak diautentikasi agar dapat membuka hasil di browser web Anda

      8. Klik Create untuk men-deploy image ke Cloud Run dan tunggu deployment selesai.

      Layanan Anda di-deploy. Revisi tunduk pada penegakan kebijakan Otorisasi Biner.

Memperbarui kebijakan Otorisasi Biner untuk melarang semua image

Kebijakan Otorisasi Biner berisi aturan default. Aturan ini mengatur deployment layanan Cloud Run yang baru saja Anda buat.

Secara default, aturan ini mengizinkan semua image container di-deploy.

Untuk melihat kebijakan default, lakukan hal berikut:

  1. Buka Otorisasi Biner

    Screenshot tab kebijakan yang menampilkan aturan default

  2. Klik Edit Policy.

  3. Di Project Default Rule, perhatikan bahwa opsi Allow All Images dipilih.

    Screenshot opsi untuk memilih jenis aturan default

Sekarang, ubah kebijakan untuk memblokir semua image agar tidak di-deploy, dengan melakukan hal berikut:

  1. Buka halaman Binary Authorization di konsol Google Cloud.

    Buka Otorisasi Biner

  2. Klik Edit Policy.

  3. Di Aturan default, pilih Tolak Semua Gambar.

    Screenshot opsi untuk memilih jenis aturan default

  4. Klik Simpan Kebijakan.

Men-deploy ulang layanan

Uji kebijakan yang diperbarui dengan men-deploy revisi baru.

Untuk men-deploy image, lakukan hal berikut:

  1. Buka Cloud Run

  2. Klik nama layanan yang Anda deploy sebelumnya dalam panduan ini.

  3. Klik Edit dan deploy revisi baru.

  4. Klik Deploy.

Anda akan melihat pesan error yang mirip dengan berikut ini:

Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

Mereset kebijakan untuk mengizinkan semua gambar

Untuk mereset kebijakan agar mengizinkan semua gambar, lakukan hal berikut:

  1. Buka halaman Binary Authorization di konsol Google Cloud.

    Buka Otorisasi Biner

  2. Klik Edit Policy.

  3. Pilih Izinkan Semua Gambar.

  4. Untuk menyimpan kebijakan, klik Simpan Kebijakan.

Sekarang Anda dapat men-deploy image.

Pembersihan

Agar akun Google Cloud Anda tidak dikenai biaya untuk resource yang digunakan di halaman ini, ikuti langkah-langkah berikut.

Untuk menghapus layanan yang Anda buat di Cloud Run, lakukan hal berikut:

  1. Buka Cloud Run

  2. Temukan layanan yang ingin Anda hapus dalam daftar layanan, lalu klik kotak centang layanan tersebut untuk memilihnya.

  3. Klik Hapus. Tindakan ini akan menghapus semua revisi layanan.

Untuk menonaktifkan Otorisasi Biner, lihat Menonaktifkan Otorisasi Biner.

Langkah selanjutnya