Panduan ini menunjukkan cara menyiapkan Otorisasi Biner untuk menerapkan deployment layanan dan tugas Cloud Run berbasis kebijakan.
Sebelum memulai
Siapkan Cloud Run dan aktifkan API dengan melakukan tindakan berikut:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Mengaktifkan Otorisasi Biner di layanan Cloud Run yang ada
Anda dapat mengaktifkan penerapan Otorisasi Biner pada layanan yang ada. Untuk mengaktifkan penerapan setelah mengaktifkannya, Anda mungkin perlu men-deploy revisi atau memperbarui traffic layanan.
Anda dapat mengaktifkan penerapan Otorisasi Biner pada layanan yang ada menggunakan Konsol Google Cloud atau Google Cloud CLI:
Konsol
Buka halaman Cloud Run di konsol Google Cloud.
Klik layanan.
Klik tab Keamanan.
Untuk mengaktifkan penerapan Otorisasi Biner di layanan, klik Aktifkan.
Opsional: Untuk mengonfigurasi kebijakan Otorisasi Biner, klik Konfigurasikan Kebijakan.
gcloud
Aktifkan Otorisasi Biner di layanan dan deploy:
gcloud run services update SERVICE_NAME --binary-authorization=default
Ganti SERVICE_NAME
dengan nama untuk layanan Anda.
YAML
Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:
gcloud run services describe SERVICE --format export > service.yaml
Update anotasi
run.googleapis.com/binary-authorization:
sebagai berikut:apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/binary-authorization: POLICY name: SERVICE spec: template:
Ganti kode berikut:
- SERVICE: nama Cloud Run Anda
- POLICY: tetapkan ke
default
Ganti layanan dengan konfigurasi barunya menggunakan perintah berikut:
gcloud run services replace service.yaml
Mengaktifkan Otorisasi Biner pada tugas Cloud Run yang ada
Anda dapat mengaktifkan penerapan Otorisasi Biner pada tugas yang ada menggunakan Konsol Google Cloud atau Google Cloud CLI:
Konsol
Buka halaman tugas Cloud Run di konsol Google Cloud.
Klik tugas untuk membuka detail tugas.
Klik tab Configuration.
Di bagian Otorisasi Biner, pilih kebijakan dari daftar kebijakan.
Klik Terapkan untuk mengaktifkan penerapan Otorisasi Biner pada tugas.
Opsional: Untuk mengonfigurasi kebijakan Otorisasi Biner, klik Konfigurasikan Kebijakan.
gcloud
Aktifkan Otorisasi Biner pada tugas:
gcloud run jobs update JOB_NAME --binary-authorization=POLICY
Ganti kode berikut:
JOB_NAME
: nama tugas Anda.POLICY
: kebijakan yang ingin Anda terapkan. Gunakan nilaidefault
untuk menggunakan kebijakan default.
Sebaiknya wajibkan Otorisasi Biner untuk Cloud Run dengan mengonfigurasi kebijakan organisasi untuk melakukannya. Otorisasi Biner dapat dinonaktifkan oleh developer Cloud Run jika kebijakan tidak dikonfigurasi.
Melihat kebijakan
Untuk melihat kebijakan, klik Lihat kebijakan.
Untuk informasi selengkapnya, lihat mengonfigurasi kebijakan Otorisasi Biner.
Kegagalan deployment layanan atau tugas
Jika layanan atau tugas gagal di-deploy karena melanggar kebijakan Otorisasi Biner, Anda mungkin melihat error seperti berikut:
Revision REVISION_NAME uses an unauthorized container image. Container image IMAGE_NAME is not authorized by policy.
Error ini juga berisi informasi tentang alasan gambar melanggar kebijakan. Dalam hal ini, Anda dapat menggunakan breakglass untuk mengabaikan penerapan kebijakan dan men-deploy image.
Mengaktifkan Otorisasi Biner di layanan baru
Anda dapat mengaktifkan Otorisasi Biner di layanan baru menggunakan Konsol Google Cloud atau Google Cloud CLI:
Konsol
Buka halaman Cloud Run:
Klik Create service.
Di formulir Create service :
- Pilih Cloud Run sebagai platform pengembangan Anda.
- Pilih region tempat Anda ingin layanan berada.
- Masukkan nama layanan.
- Klik Berikutnya untuk melanjutkan ke halaman Mengonfigurasi revisi pertama layanan.
- Pilih Men-deploy satu revisi dari image container yang sudah ada.
- Masukkan atau pilih image yang akan di-deploy.
- Luaskan bagian Advanced settings.
- Klik tab Keamanan.
Centang kotak Verify container deployment with Binary Authorization.
Opsional: Klik Configure policy untuk mengonfigurasi kebijakan Otorisasi Biner. Untuk mempelajari lebih lanjut cara mengonfigurasi kebijakan, lihat Mengonfigurasi kebijakan
Men-deploy service.
gcloud
Aktifkan Otorisasi Biner di layanan dan deploy:
gcloud run deploy SERVICE_NAME --image=IMAGE_URL --binary-authorization=default --region=REGION
Ganti kode berikut:
SERVICE_NAME
: nama untuk layanan Anda.IMAGE_URL
: image yang ingin Anda deploy.REGION
: region tempat Anda ingin men-deploy layanan.
Mengaktifkan Otorisasi Biner pada tugas baru
Anda dapat mengaktifkan Otorisasi Biner pada tugas baru menggunakan Google Cloud CLI:
gcloud
Buat tugas baru dengan Otorisasi Biner yang diaktifkan:
gcloud run jobs create JOB_NAME \ --image IMAGE_URL OPTIONS \ --binary-authorization=POLICY \ --region=REGION
Ganti kode berikut:
JOB_NAME
: nama tugas yang ingin Anda buat. Anda dapat menghilangkan parameter ini, tetapi Anda akan diminta untuk memasukkan nama tugas jika menghilangkannya.POLICY
: kebijakan yang ingin Anda terapkan. Gunakan nilaidefault
untuk menggunakan kebijakan default.- IMAGE_URL dengan referensi ke image container,
misalnya,
us-docker.pkg.dev/cloudrun/container/job:latest
. REGION
: region tempat tugas ini akan berjalan.OPTIONS
: salah satu opsi yang tersedia yang dijelaskan di halaman pembuatan tugas Cloud Run.
Tunggu hingga pembuatan tugas selesai dibuat. Setelah berhasil diselesaikan, konsol akan menampilkan pesan berhasil.
Untuk menjalankan tugas, lihat Jalankan tugas atau jalankan tugas sesuai jadwal.
Saat Anda membuat tugas baru, agen layanan Cloud Run harus dapat mengakses container, yang merupakan kasus default.
YAML
Buat file
job.yaml
baru dengan konten ini:apiVersion: run.googleapis.com/v1 kind: Job metadata: name: JOB annotations: run.googleapis.com/binary-authorization: POLICY spec: template: spec: containers: - image: IMAGE
Ganti kode berikut:
- JOB: nama tugas Cloud Run Anda
- IMAGE: URL image container Anda
- POLICY: tetapkan ke
default
Deploy tugas baru menggunakan perintah berikut:
gcloud run jobs replace job.yaml
Langkah selanjutnya
- Gunakan pengautentikasi
built-by-cloud-build
untuk hanya men-deploy image yang dibuat oleh Cloud Build. - Konfigurasikan kebijakan Otorisasi Biner menggunakan Konsol Google Cloud atau alat command line.
- Gunakan pengesahan untuk hanya men-deploy image container yang ditandatangani.
- Tonton video tentang cara menggunakan Otorisasi Biner di Cloud Run sehingga hanya build yang disetujui yang di-deploy.