為 Cloud Run 啟用二進位授權

本指南說明如何設定 Binary Authorization,以強制執行 Cloud Run 服務和工作的政策式部署作業。

事前準備

設定 Cloud Run 並啟用 API,方法如下:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. 如果您使用外部識別資訊提供者 (IdP),請先 使用聯合身分登入 gcloud CLI

  7. 如要初始化 gcloud CLI,請執行下列指令: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. 如果您使用外部識別資訊提供者 (IdP),請先 使用聯合身分登入 gcloud CLI

  13. 如要初始化 gcloud CLI,請執行下列指令: 

    gcloud init

    14. 在現有 Cloud Run 服務上啟用二進位授權

    您可以在現有服務上啟用二進位授權強制執行功能。 啟用強制執行後,您可能需要部署修訂版本或更新服務流量,才能啟動強制執行。

    您可以使用 Google Cloud 控制台或 Google Cloud CLI,在現有服務上啟用二進位授權強制執行功能:

    主控台

    1. 前往 Google Cloud 控制台的 Cloud Run 頁面。

      前往 Cloud Run

    2. 按一下所需服務。

    3. 按一下 [Security] (安全性) 分頁標籤。

    4. 如要啟用服務的二進位授權強制執行功能,請按一下「啟用」

    5. 選用:如要設定二進位授權政策,請按一下「設定政策」

    gcloud

    在服務上啟用二進位授權並部署:

    gcloud run services update SERVICE_NAME --binary-authorization=default

    SERVICE_NAME 改為服務名稱。

    YAML

    1. 如要建立新服務,請略過這個步驟。 如要更新現有服務,請下載其 YAML 設定

      gcloud run services describe SERVICE --format export > service.yaml

    2. run.googleapis.com/binary-authorization: 註解更新為以下內容:

      apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  annotations:
    run.googleapis.com/binary-authorization: POLICY
  name: SERVICE
spec:
  template:

      更改下列內容:

      • SERVICE:Cloud Run 的名稱
      • POLICY:設為 default

    3. 使用下列指令,以新設定取代服務:

    gcloud run services replace service.yaml

    在現有 Cloud Run 工作上啟用二進位授權

    您可以使用Google Cloud 控制台或 Google Cloud CLI,在現有工作上啟用二進位授權強制執行功能:

    主控台

    1. 前往 Google Cloud 控制台的 Cloud Run 工作頁面。

      前往 Cloud Run

    2. 按一下工作即可開啟工作詳細資料。

    3. 按一下 [設定] 標籤。

    4. 在「二進位授權」下方,從政策清單中選取政策。

    5. 按一下「套用」,即可對工作啟用二進位授權強制執行功能。

    6. 選用:如要設定二進位授權政策,請按一下「設定政策」

    gcloud

    在工作中啟用二進位授權:

    gcloud run jobs update JOB_NAME --binary-authorization=POLICY

    更改下列內容:

    • JOB_NAME:工作名稱。
    • POLICY:要套用的政策。如要使用預設政策,請使用 default 值。

    建議您為 Cloud Run 啟用二進位授權,方法是設定組織政策。如果未設定政策,Cloud Run 開發人員可以停用二進位授權。

    查看政策

    如要查看政策,請按一下「查看政策」

    詳情請參閱設定二進位授權政策

    服務或工作部署失敗

    如果服務或工作因違反二進位授權政策而無法部署,您可能會看到類似下列內容的錯誤訊息:

    Revision REVISION_NAME uses an unauthorized container image.
Container image IMAGE_NAME is not authorized by policy.

    錯誤訊息也會說明圖片違反政策的原因。在這種情況下,您可以使用急用權限略過政策強制執行,並部署映像檔。

    在新服務上啟用二進位授權

    您可以使用 Google Cloud 控制台 或 Google Cloud CLI,在新服務上啟用二進位授權:

    主控台

    1. 前往 Cloud Run 頁面:

      前往 Cloud Run

    2. 按一下「Create service」(建立服務)

    3. 在「建立服務」表單中:

      1. 選取 Cloud Run 做為開發平台。
      2. 選取您要使用服務的地區。
      3. 輸入服務名稱。
      4. 點選「下一步」,繼續前往「設定服務的第一個修訂版本」頁面。
      5. 選取「透過現有的容器映像檔部署單一修訂版本」
      6. 輸入或選取要部署的映像檔。
      7. 展開「進階設定」部分。
      8. 按一下 [Security] (安全性) 分頁標籤。

      9. 選取「以二進位授權驗證容器部署」核取方塊。

      10. 選用:按一下「設定政策」,設定二進位授權政策。如要進一步瞭解如何設定政策,請參閱「設定政策

      11. 部署服務。

    gcloud

    在服務上啟用二進位授權並部署:

      gcloud run deploy SERVICE_NAME --image=IMAGE_URL --binary-authorization=default --region=REGION

    更改下列內容:

    • SERVICE_NAME:服務名稱。
    • IMAGE_URL:要部署的映像檔。
    • REGION:要部署服務的區域。

    在新工作中啟用二進位授權

    您可以使用 Google Cloud CLI,在新工作中啟用二進位授權:

    gcloud

    1. 建立啟用二進位授權的新工作:

      gcloud run jobs create JOB_NAME \
  --image IMAGE_URL OPTIONS \
  --binary-authorization=POLICY \
  --region=REGION

      更改下列內容:

      • JOB_NAME:要建立的工作名稱,您可以省略這個參數,但如果省略,系統會提示您輸入工作名稱。
      • POLICY:要套用的政策。如要使用預設政策,請使用 default 值。
      • IMAGE_URL容器映像檔的參照,例如 us-docker.pkg.dev/cloudrun/container/job:latest
      • REGION:這項工作執行的區域。
      • OPTIONS:Cloud Run工作建立頁面中說明的任何可用選項。

    2. 等待工作建立完成。成功完成後,控制台會顯示成功訊息。

    3. 如要執行工作,請參閱執行工作依排程執行工作

    建立新工作時,Cloud Run 服務代理程式必須能夠存取容器 (預設情況下可以)。

    YAML

    1. 建立新的 job.yaml 檔案,並加入以下內容:

      apiVersion: run.googleapis.com/v1
kind: Job
metadata:
  name: JOB
  annotations:
    run.googleapis.com/binary-authorization: POLICY
spec:
  template:
    spec:
      containers:
      - image: IMAGE

      更改下列內容:

      • JOB:Cloud Run 工作的名稱
      • IMAGE:容器映像檔的網址
      • POLICY:設為 default

    2. 使用下列指令部署新工作:

      gcloud run jobs replace job.yaml

    後續步驟