Ativar a autorização binária para o Cloud Run

Neste guia, mostramos como configurar a autorização binária para aplicar a implantação baseada em política dos serviços do Cloud Run.

Antes de começar

Para configurar o Cloud Run e ativar APIs, faça o seguinte:

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
  2. No Console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Verifique se o faturamento está ativado para seu projeto na nuvem. Saiba como confirmar se o faturamento está ativado para o projeto.

  4. Ative as APIs Cloud Run, Artifact Registry, Binary Authorization.

    Ative as APIs

  5. Instale e inicialize o SDK do Cloud..
  6. No Console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  7. Verifique se o faturamento está ativado para seu projeto na nuvem. Saiba como confirmar se o faturamento está ativado para o projeto.

  8. Ative as APIs Cloud Run, Artifact Registry, Binary Authorization.

    Ative as APIs

  9. Instale e inicialize o SDK do Cloud..

Ativar a autorização binária em um serviço atual do Cloud Run

Nesta seção, descrevemos como ativar a aplicação da autorização binária em um serviço atual.

Para ativar a aplicação da autorização binária em um serviço atual, faça o seguinte:

Console

  1. Acesse a página do Cloud Run no Console do Google Cloud.

    Acesse o Cloud Run

  2. Clique no nome do serviço.

  3. Clique na guia Details.

  4. Para ativar a aplicação da autorização binária no serviço, clique em Ativar.

  5. Opcional: para configurar a política de autorização binária, clique em Configurar política.

gcloud

Execute este comando:

gcloud run services update SERVICE_NAME --binary-authorization=default

Substitua SERVICE_NAME por um nome para o serviço.

Ver a política

Para ver a política, clique em Ver política.

Saiba mais sobre como configurar uma política de autorização binária.

Falha na implantação do serviço

Se a implantação do serviço falhar por violar a política de autorização binária, talvez você veja um erro como este:

Revision REVISION_NAME uses an unauthorized container image.
Container image IMAGE_NAME is not authorized by policy.

O erro também contém informações sobre o motivo pelo qual a imagem violou a política. Nesse caso, é possível usar a implantação forçada para ignorar a aplicação da política e implantar a imagem.

Ativar a autorização binária em um novo serviço

Para ativar a autorização binária em um novo serviço, faça o seguinte:

Console

  1. Acesse a página do Cloud Run:

    Acesse o Cloud Run

  2. Clique em Criar serviço. No formulário Criar serviço que é exibido:

    1. Selecione o Cloud Run como a plataforma de desenvolvimento.
    2. Selecione a região em que você quer que o serviço esteja localizado.
    3. Digite o nome do serviço.
    4. Clique em Avançar para acessar a página Configurar a primeira revisão do serviço.
    5. Selecione Implantar uma revisão de uma imagem de contêiner atual.
    6. Digite ou selecione a imagem a ser implantada.
    7. Expanda a seção Configurações avançadas.
    8. Clique na guia Security.
    9. Marque a caixa de seleção Verificar a implantação do contêiner com autorização binária.

    10. Opcional: clique em Configurar política para configurar a política de autorização binária. Para saber mais sobre como configurar uma política, consulte Como configurar uma política

    11. Implante o serviço.

gcloud

Execute este comando:

  gcloud run deploy SERVICE_NAME --image=IMAGE_URL --binary-authorization=default --region=REGION

Substitua:

  • SERVICE_NAME: um nome para o serviço.
  • IMAGE_URL: a imagem que você quer implantar.
  • REGION: a região em que você quer implantar o serviço.

A seguir