Cloud Run으로 Binary Authorization 정책 구성

이 빠른 시작에서는 Binary Authorization 정책에서 Cloud Run으로 기본 규칙을 구성하고 테스트하는 방법을 보여줍니다.

이 빠른 시작에서는 Binary Authorization을 사용하여 Cloud Run 서비스의 배포를 제어합니다.

시작하기 전에

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Binary Authorization이 사용 설정된 서비스 만들기

Binary Authorization이 사용 설정된 Cloud Run 서비스를 만들려면 다음을 수행합니다.

  1. Cloud Run으로 이동

  2. 서비스 만들기를 클릭하여 서비스 만들기 양식을 표시합니다.

    이미지

    표시된 양식에서 다음을 수행합니다.

    1. 개발 플랫폼으로 Cloud Run을 선택합니다.
    2. 서비스를 배치할 리전을 선택합니다.
    3. 서비스에 부여할 이름을 지정합니다(예: test-service).

    4. 다음을 클릭하여 서비스의 첫 번째 버전 구성 페이지로 이동합니다.

      양식에서 다음을 수행합니다.

      1. 기존 컨테이너 이미지에서 버전 1개 배포를 선택합니다.

      2. us-docker.pkg.dev/cloudrun/container/hello를 컨테이너 이미지로 사용합니다.

      3. 고급 설정 섹션을 확장합니다.

      4. 보안 탭을 클릭합니다.

      5. Binary Authorization으로 컨테이너 배포 확인 체크박스를 선택합니다.

        이미지

        기본적으로 Binary Authorization 정책은 모든 이미지 배포를 허용합니다.

      6. 다음을 클릭하여 서비스 트리거 방식 구성 페이지로 이동합니다.

        이미지

      7. 인증되지 않은 호출 허용을 선택하면 웹브라우저에서 결과를 열 수 있습니다.

      8. 만들기를 클릭하여 Cloud Run에 이미지를 배포하고 배포가 완료될 때까지 기다립니다.

      서비스가 배포됩니다. 버전에는 Binary Authorization 정책 시행이 적용됩니다.

모든 이미지를 거부하도록 Binary Authorization 정책 업데이트

Binary Authorization 정책에는 기본 규칙이 포함되어 있습니다. 이 규칙은 바로 전에 만든 Cloud Run 서비스의 배포를 제어합니다.

기본적으로 이 규칙은 모든 컨테이너 이미지의 배포를 허용합니다.

기본 정책을 보려면 다음을 수행합니다.

  1. Binary Authorization으로 이동

    기본 규칙을 보여주는 정책 탭 스크린샷

  2. 정책 수정을 클릭합니다.

  3. 프로젝트 기본 규칙에서 모든 이미지 허용 옵션이 선택됩니다.

    기본 규칙 유형을 선택하는 옵션 스크린샷

이제 다음을 수행하여 모든 이미지의 배포를 차단하도록 정책을 수정합니다.

  1. Google Cloud 콘솔에서 Binary Authorization 페이지로 이동합니다.

    Binary Authorization으로 이동

  2. 정책 수정을 클릭합니다.

  3. 기본 규칙에서 모든 이미지 허용 안함을 선택합니다.

    기본 규칙 유형을 선택하는 옵션 스크린샷

  4. 정책 저장을 클릭합니다.

서비스 다시 배포

새 버전을 배포하여 업데이트된 정책을 테스트합니다.

이미지를 배포하려면 다음을 수행합니다.

  1. Cloud Run으로 이동

  2. 이 가이드의 앞부분에서 배포한 서비스 이름을 클릭합니다.

  3. 수정을 클릭하고 새 버전을 배포합니다.

  4. 배포를 클릭합니다.

다음과 비슷한 오류 메시지가 표시됩니다.

Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

모든 이미지를 허용하도록 정책 재설정

모든 이미지를 허용하도록 정책을 재설정하려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 Binary Authorization 페이지로 이동합니다.

    Binary Authorization으로 이동

  2. 정책 수정을 클릭합니다.

  3. 모든 이미지 허용을 선택합니다.

  4. 정책을 저장하려면 정책 저장을 클릭합니다.

이제 이미지를 배포할 수 있습니다.

삭제

이 페이지에서 사용한 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 다음 단계를 수행합니다.

Cloud Run에서 만든 서비스를 삭제하려면 다음을 수행합니다.

  1. Cloud Run으로 이동

  2. 서비스 목록에서 삭제할 서비스를 찾은 다음 체크박스를 클릭하여 선택합니다.

  3. 삭제를 클릭합니다. 이렇게 하면 서비스의 모든 버전이 삭제됩니다.

Binary Authorization을 사용 중지하려면 Binary Authorization 사용 중지를 참조하세요.

다음 단계