Activer l'autorisation binaire pour Cloud Run

Ce guide explique comment configurer l'autorisation binaire pour appliquer le déploiement basé sur des règles des services et des tâches Cloud Run.

Avant de commencer

Configurez Cloud Run et activez les API en procédant comme suit :

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init

Activer l'autorisation binaire sur un service Cloud Run existant

Vous pouvez activer l'application de l'autorisation binaire sur un service existant. Pour activer l'application après l'avoir activée, vous devrez peut-être déployer une révision ou un trafic de service mis à jour.

Vous pouvez activer l'application de l'autorisation binaire sur un service existant à l'aide de la console Google Cloud ou de Google Cloud CLI :

Console

  1. Accédez à la page Cloud Run de la console Google Cloud.

    Accédez à Cloud Run

  2. Cliquez sur le service.

  3. Cliquez sur l'onglet Sécurité.

  4. Pour activer l'application de l'autorisation binaire sur le service, cliquez sur Activer.

  5. Facultatif : Pour configurer la stratégie d'autorisation binaire, cliquez sur Configurer la stratégie.

gcloud

Activez l'autorisation binaire sur le service et déployez-la :

gcloud run services update SERVICE_NAME --binary-authorization=default

Remplacez SERVICE_NAME par le nom que vous souhaitez donner à votre compte de service.

YAML

  1. Si vous créez un service, ignorez cette étape. Si vous mettez à jour un service existant, téléchargez sa configuration YAML :

    gcloud run services describe SERVICE --format export > service.yaml
  2. Mettez à jour l'annotation run.googleapis.com/binary-authorization: comme suit :

    apiVersion: serving.knative.dev/v1
    kind: Service
    metadata:
      annotations:
        run.googleapis.com/binary-authorization: POLICY
      name: SERVICE
    spec:
      template:

    Remplacez les éléments suivants :

    • SERVICE : nom de votre job Cloud Run.
    • POLICY : défini sur default
  3. Remplacez la configuration du service en utilisant la commande suivante :

gcloud run services replace service.yaml

Activer l'autorisation binaire sur une tâche Cloud Run existante

Vous pouvez activer l'application de l'autorisation binaire sur un job existant à l'aide de la console Google Cloud ou de Google Cloud CLI :

Console

  1. Accédez à la page des tâches Cloud Run de Google Cloud Console.

    Accédez à Cloud Run

  2. Cliquez sur le job pour en afficher les détails.

  3. Cliquez sur l'onglet Configuration.

  4. Sous Autorisation binaire, sélectionnez une règle dans la liste des stratégies.

  5. Cliquez sur Appliquer pour activer l'application de l'autorisation binaire sur le job.

  6. Facultatif : Pour configurer la stratégie d'autorisation binaire, cliquez sur Configurer la stratégie.

gcloud

Activez l'autorisation binaire sur le job :

gcloud run jobs update JOB_NAME --binary-authorization=POLICY

Remplacez les éléments suivants :

  • JOB_NAME : nom de votre job.
  • POLICY : règle que vous souhaitez appliquer. Définissez la valeur default pour utiliser la règle par défaut.

Nous vous recommandons d'exiger l'autorisation binaire pour Cloud Run en configurant une règle d'administration. Si la règle n'est pas configurée, les développeurs Cloud Run peuvent désactiver l'autorisation binaire

Afficher la règle

Pour afficher la règle, cliquez sur Afficher la règle.

Pour en savoir plus, consultez la section Configurer une règle d'autorisation binaire.

Échec du déploiement du service ou du job

Si le déploiement de votre service ou de votre tâche échoue parce qu'il ne respecte pas la stratégie d'autorisation binaire, vous pouvez rencontrer une erreur semblable à celle-ci :

Revision REVISION_NAME uses an unauthorized container image.
Container image IMAGE_NAME is not authorized by policy.

L'erreur contient également des informations sur les raisons pour lesquelles l'image a enfreint la règle. Dans ce cas, vous pouvez utiliser le mode "bris de glace" pour contourner l'application des règles et déployer l'image.

Activer l'autorisation binaire sur un nouveau service

Vous pouvez activer l'autorisation binaire sur un nouveau service à l'aide de la console Google Cloud ou de Google Cloud CLI :

Console

  1. Accéder à la page Cloud Run :

    Accédez à Cloud Run

  2. Cliquez sur Créer un service.

  3. Dans le formulaire Créer un service :

    1. Sélectionnez Cloud Run comme plate-forme de développement.
    2. Sélectionnez la région dans laquelle vous souhaitez créer votre service.
    3. Saisissez le nom du service.
    4. Cliquez sur Suivant pour passer à la page Configurer la première révision du service.
    5. Sélectionnez Déployer une révision à partir d'une image de conteneur existante.
    6. Saisissez ou sélectionnez l'image à déployer.
    7. Développez la section Paramètres avancés.
    8. Cliquez sur l'onglet Sécurité.
    9. Cochez la case Vérifier le déploiement du conteneur avec l'autorisation binaire.

    10. Facultatif : Pour configurer la stratégie d'autorisation binaire, cliquez sur Configurer la stratégie. Pour en savoir plus sur la configuration des stratégies, consultez la page Configurer une stratégie.

    11. Déployez le service.

gcloud

Activez l'autorisation binaire sur le service et déployez-la :

  gcloud run deploy SERVICE_NAME --image=IMAGE_URL --binary-authorization=default --region=REGION

Remplacez les éléments suivants :

  • SERVICE_NAME : nom de votre service.
  • IMAGE_URL : image que vous souhaitez déployer.
  • REGION : région dans laquelle vous souhaitez déployer votre service.

Activer l'autorisation binaire sur une nouvelle tâche

Vous pouvez activer l'autorisation binaire sur un nouveau job à l'aide de Google Cloud CLI :

gcloud

  1. Créez un job avec l'autorisation binaire activée :

    gcloud run jobs create JOB_NAME \
      --image IMAGE_URL OPTIONS \
      --binary-authorization=POLICY \
      --region=REGION

    Remplacez les éléments suivants :

    • JOB_NAME : nom du job que vous souhaitez créer. Vous pouvez omettre ce paramètre, mais dans ce cas, le nom de la tâche vous sera demandé.
    • POLICY : règle que vous souhaitez appliquer. Définissez la valeur default pour utiliser la règle par défaut.
    • IMAGE_URL par une référence à l'image de conteneur, par exemple us-docker.pkg.dev/cloudrun/container/job:latest.
    • REGION : région dans lequel le job sera exécuté.
    • OPTIONS : l'une des options disponibles décrites sur la page de création de job de Cloud Run.
  2. Patientez pendant la création de la tâche. Une fois l'opération achevée, la console affiche un message de réussite.

  3. Pour exécuter le job, consultez la page Exécuter des jobs ou Exécuter des jobs selon un calendrier.

Lorsque vous créez un job, l'agent de service Cloud Run doit pouvoir accéder au conteneur, ce qui est le cas par défaut.

YAML

  1. Créez un fichier job.yaml avec le contenu suivant :

    apiVersion: run.googleapis.com/v1
    kind: Job
    metadata:
      name: JOB
      annotations:
        run.googleapis.com/binary-authorization: POLICY
    spec:
      template:
        spec:
          containers:
          - image: IMAGE

    Remplacez les éléments suivants :

    • JOB: nom de votre job Cloud Run
    • IMAGE: URL de votre image de conteneur
    • POLICY : défini sur default
  2. Déployez la nouvelle tâche à l'aide de la commande suivante :

    gcloud run jobs replace job.yaml

Étape suivante