Cloud Run 설정 개요

이 페이지에서는 Cloud Run 서비스 및 작업에 사용하도록 Binary Authorization을 설정하는 방법을 간략히 설명합니다.

Binary Authorization 정책이 Cloud Run에 적용되는 방법

Cloud Run 서비스 및 작업에서 Binary Authorization 정책을 설정할 수 있습니다. 그러나 정책 시행은 Cloud Run 서비스 및 작업 간에 약간 다릅니다.

Cloud Run 서비스에 적용된 정책

서비스에서 Binary Authorization 정책을 설정하면 새 버전을 배포할 때마다 Cloud Run이 정책을 검사합니다. 새 버전이 정책을 준수하지 않으면 배포가 실패합니다. 그러나 이 경우에는 breakglass 기능을 사용하여 Binary Authorization 정책을 우회하고 호환되지 않는 컨테이너를 사용하여 버전을 배포할 수 있습니다.

Binary Authorization 정책의 변경사항은 기존 버전에 소급해서 적용되지 않습니다.

Cloud Run 작업에 적용되는 정책

작업에 Binary Authorization 정책을 설정하면 작업을 실행할 때마다 Cloud Run이 정책을 검사합니다. 작업에 호환되지 않는 컨테이너가 포함된 경우:

  • 여전히 작업을 성공적으로 업데이트할 수 있습니다.
  • 작업 실행이 실패합니다. 이러한 경우 breakglass 기능을 사용하여 Binary Authorization 정책을 우회할 수 있습니다.

Binary Authorization 정책의 변경사항은 이미 실행 중인 실행에 소급해서 적용되지 않습니다.

시작하기 전에

Cloud Run용 Binary Authorization을 사용하기 전에 Cloud Run 환경을 설정하는 것이 좋습니다.

설정 단계

Cloud Run용 Binary Authorization을 설정하려면 다음 단계를 수행합니다.

  1. Binary Authorization을 사용 설정합니다.
  2. 권장: 조직 정책을 사용하여 Cloud Run용 Binary Authorization을 요구합니다.
  3. Cloud Run용 Binary Authorization을 사용 설정합니다.
  4. Binary Authorization 정책을 구성합니다.

    정책에서 다음 기능을 구성할 수 있습니다.

    Cloud Run에 함수를 배포하려면 Binary Authorization 정책 관리자는 REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/** 저장소 및 해당 하위 디렉터리에서 모든 이미지를 예외 처리하도록 Binary Authorization 정책을 구성해야 합니다.

  5. 선택사항: built-by-cloud-build 증명자를 사용하여 Cloud Build에서 빌드한 이미지만 배포(미리보기)합니다.

  6. 선택사항: 증명을 사용합니다.

  7. Cloud 감사 로그에서 Cloud Run 이벤트의 Binary Authorization 보기