本页面简要介绍如何设置 Binary Authorization 以与 Cloud Run 服务和作业搭配使用。
如何将 Binary Authorization 政策应用于 Cloud Run
您可以针对 Cloud Run 服务和作业设置 Binary Authorization 政策。但是,Cloud Run 服务和作业之间的政策强制执行略有不同。
应用于 Cloud Run 服务的政策
针对服务设置 Binary Authorization 政策时,Cloud Run 每次部署新修订版本时都会检查该政策。如果新修订版本不符合该政策,部署将会失败。但是,如果发生这种情况,您可以使用 Breakglass 功能绕过 Binary Authorization 政策,使用不符合政策的容器部署修订版本。
Binary Authorization 政策中的更改不会以回溯方式应用于现有修订版本。
应用于 Cloud Run 作业的政策
针对作业设置 Binary Authorization 政策时,Cloud Run 每次执行作业时都会检查该政策。如果作业的容器不符合该政策:
- 您仍然可以成功更新作业。
- 执行作业将会失败。在这些情况下,您可以使用 Breakglass 功能绕过 Binary Authorization 政策。
Binary Authorization 政策中的更改不会以回溯方式应用于已在运行的执行。
准备工作
在使用 Binary Authorization for Cloud Run 之前,我们建议您先设置 Cloud Run 环境。
设置步骤
如需设置 Binary Authorization for Cloud Run,请执行以下步骤:
- 启用 Binary Authorization。
- 推荐:通过使用组织政策来要求 Cloud Run 使用 Binary Authorization。
- 启用 Binary Authorization for Cloud Run。
配置 Binary Authorization 政策。
您可以在政策中配置以下功能:
如需在 Cloud Run 中部署函数,Binary Authorization 政策管理员必须配置 Binary Authorization 政策,以豁免
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
代码库及其子目录中的所有映像。可选:使用
built-by-cloud-build
证明者仅部署由 Cloud Build 构建的映像(预览版)。可选:使用证明。
在 Cloud Audit Logs 中查看 Binary Authorization for Cloud Run 事件。