Questa guida illustra come configurare Autorizzazione binaria per applicare il deployment di servizi e job Cloud Run basato su criteri.
Prima di iniziare
Configura Cloud Run e abilita le API seguendo questi passaggi:
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Abilita le API Cloud Run, Artifact Registry, Binary Authorization.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Abilita le API Cloud Run, Artifact Registry, Binary Authorization.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
Abilita Autorizzazione binaria su un servizio Cloud Run esistente
Puoi abilitare l'applicazione di Autorizzazione binaria su un servizio esistente. Per attivare l'applicazione forzata dopo averla abilitata, potresti dover eseguire il deployment del traffico di un servizio di revisione o di aggiornamento.
Puoi abilitare l'applicazione di Autorizzazione binaria su un servizio esistente utilizzando la console Google Cloud o Google Cloud CLI:
Console
Vai alla pagina Cloud Run nella console Google Cloud.
Fai clic sul servizio.
Fai clic sulla scheda Sicurezza.
Per abilitare l'applicazione di Autorizzazione binaria nel servizio, fai clic su Abilita.
(Facoltativo) Per configurare il criterio di Autorizzazione binaria, fai clic su Configura criterio.
gcloud
Abilita Autorizzazione binaria sul servizio ed eseguine il deployment:
gcloud run services update SERVICE_NAME --binary-authorization=default
Sostituisci SERVICE_NAME con un nome per il tuo servizio.
YAML
Se stai creando un nuovo servizio, salta questo passaggio. Se stai aggiornando un servizio esistente, scarica la relativa configurazione YAML:
gcloud run services describe SERVICE --format export > service.yaml
Aggiorna l'annotazione
run.googleapis.com/binary-authorization:come segue:apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/binary-authorization: POLICY name: SERVICE spec: template:Sostituisci quanto segue:
- SERVICE: il nome di Cloud Run
- POLICY: impostata su
default
Sostituisci il servizio con la nuova configurazione utilizzando il seguente comando:
gcloud run services replace service.yaml
Abilita Autorizzazione binaria su un job Cloud Run esistente
Puoi abilitare l'applicazione di Autorizzazione binaria su un job esistente utilizzando la console Google Cloud o Google Cloud CLI:
Console
Vai alla pagina dei job Cloud Run nella console Google Cloud.
Fai clic sul job per aprirne i dettagli.
Fai clic sulla scheda Configuration (Configurazione).
In Autorizzazione binaria, seleziona un criterio dall'elenco dei criteri.
Fai clic su Applica per abilitare l'applicazione di Autorizzazione binaria sul job.
(Facoltativo) Per configurare il criterio di Autorizzazione binaria, fai clic su Configura criterio.
gcloud
Abilita Autorizzazione binaria sul job:
gcloud run jobs update JOB_NAME --binary-authorization=POLICY
Sostituisci quanto segue:
JOB_NAME: il nome del lavoro.POLICY: il criterio che vuoi applicare. Utilizza il valoredefaultper utilizzare il criterio predefinito.
Ti consigliamo di richiedere l'Autorizzazione binaria per Cloud Run configurando un criterio dell'organizzazione per farlo. Autorizzazione binaria può essere disabilitata dagli sviluppatori di Cloud Run se il criterio non è configurato.
Visualizza il criterio
Per visualizzare le norme, fai clic su Visualizza norme.
Per saperne di più, consulta la sezione sulla configurazione di un criterio di Autorizzazione binaria.
Errore di deployment del servizio o del job
Se il deployment del servizio o del job non riesce perché viola il criterio di Autorizzazione binaria, potrebbe essere visualizzato un errore come il seguente:
Revision REVISION_NAME uses an unauthorized container image. Container image IMAGE_NAME is not authorized by policy.
L'errore contiene anche informazioni sul motivo per cui l'immagine ha violato le norme. In questo caso, puoi utilizzare il deployment di emergenza per bypassare l'applicazione dei criteri ed eseguire il deployment dell'immagine.
Abilita Autorizzazione binaria su un nuovo servizio
Puoi abilitare Autorizzazione binaria su un nuovo servizio utilizzando la console Google Cloud o Google Cloud CLI:
Console
Vai alla pagina Cloud Run:
Fai clic su Crea servizio.
Nel modulo Crea servizio :
- Seleziona Cloud Run come piattaforma di sviluppo.
- Seleziona la regione in cui vuoi che si trovi il servizio.
- Inserisci il nome del servizio.
- Fai clic su Avanti per passare alla pagina Configura la prima revisione del servizio.
- Seleziona Esegui il deployment di una revisione da un'immagine container esistente.
- Inserisci o seleziona l'immagine di cui eseguire il deployment.
- Espandi la sezione Impostazioni avanzate.
- Fai clic sulla scheda Sicurezza.
Seleziona la casella di controllo Verifica il deployment di container con Autorizzazione binaria.
(Facoltativo) Fai clic su Configura criterio per configurare il criterio di Autorizzazione binaria. Per scoprire di più sulla configurazione di un criterio, consulta Configurazione di un criterio
Eseguire il deployment del servizio.
gcloud
Abilita Autorizzazione binaria sul servizio ed eseguine il deployment:
gcloud run deploy SERVICE_NAME --image=IMAGE_URL --binary-authorization=default --region=REGION
Sostituisci quanto segue:
SERVICE_NAME: un nome per il servizio.IMAGE_URL: l'immagine di cui vuoi eseguire il deployment.REGION: la regione in cui vuoi eseguire il deployment del servizio.
Abilita Autorizzazione binaria su un nuovo job
Puoi abilitare Autorizzazione binaria su un nuovo job utilizzando Google Cloud CLI:
gcloud
Crea un nuovo job con Autorizzazione binaria abilitata:
gcloud run jobs create JOB_NAME \ --image IMAGE_URL OPTIONS \ --binary-authorization=POLICY \ --region=REGION
Sostituisci quanto segue:
JOB_NAME: il nome del job che vuoi creare. Puoi omettere questo parametro, ma se lo ometti, ti verrà richiesto il nome del job.POLICY: il criterio che vuoi applicare. Utilizza il valoredefaultper utilizzare il criterio predefinito.- IMAGE_URL con un riferimento all'immagine container,
ad esempio
us-docker.pkg.dev/cloudrun/container/job:latest. REGION: la regione in cui verrà eseguito il job.OPTIONS: una qualsiasi delle opzioni disponibili descritte nella pagina di creazione dei job di Cloud Run.
Attendi il completamento della creazione del job. Al termine, la console visualizza un messaggio di operazione riuscita.
Per eseguire il job, consulta Eseguire job o eseguire job in base a una pianificazione.
Quando crei un nuovo job, l'agente di servizio Cloud Run deve poter accedere al container (operazione predefinita).
YAML
Crea un nuovo file
service.yamlcon questi contenuti:apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE annotations: run.googleapis.com/binary-authorization: POLICY spec: template: spec: containers: - image: IMAGESostituisci quanto segue:
- SERVICE: il nome di Cloud Run
- IMAGE: l'URL dell'immagine container.
- POLICY: impostata su
default
Esegui il deployment del nuovo servizio utilizzando il comando seguente:
gcloud run services replace service.yaml
Passaggi successivi
- Utilizza l'attestatore
built-by-cloud-buildper eseguire il deployment solo delle immagini create da Cloud Build (anteprima). - Configura il criterio di Autorizzazione binaria utilizzando la console Google Cloud o lo strumento a riga di comando.
- Utilizza le attestazioni per eseguire il deployment solo di immagini container firmate.
- Guarda un video su come utilizzare Autorizzazione binaria in Cloud Run per eseguire il deployment solo delle build approvate.