このドキュメントでは、GKE クラスタ用に Binary Authorization を設定する方法について説明します。その後、Binary Authorization ポリシーのサンプルを構成する方法について説明します。
始める前に
Connect に登録された GKE クラスタが必要です。Binary Authorization は次の環境をサポートしています。
GKE on Bare Metal
GKE on Bare Metal 1.14 以降。
GKE on VMware
GKE on VMware 1.4 以降
Binary Authorization サービスは、パブリック IP アドレスを使用し、通常のインターネット接続を介してアクセスできます。HTTPS でユーザー クラスタがエンドポイント
binaryauthorization.googleapis.comにアクセスできるように、ファイアウォール ルールを構成します。GKE on Bare Metal
GKE on VMware
GKE on VMware ファイアウォール ルールを構成します。
一元化された Cloud Audit Logs を使用して監査ログエントリ(GKE クラスタ用 Binary Authorization のエントリなど)を表示するには、クラスタ構成で Cloud Audit Logs を構成する必要があります。
GKE on Bare Metal
GKE on Bare Metal で Cloud Audit Logs を構成します。
GKE on VMware
GKE on VMware で Cloud Audit Logs を構成します。
次のように Binary Authorization API を有効にする必要があります。
Google Cloud Console に移動します。
プロジェクトのプルダウン リストで、Connect プロジェクトを選択します。この Google Cloud プロジェクトは、ユーザー クラスタ構成ファイルの
gkeConnectセクションにあります。これは、ユーザー クラスタを Google Cloud に接続する Google Cloud プロジェクトです。
Binary Authorization を設定する
このセクションでは、クラスタ内に GKE クラスタ用 Binary Authorization を設定します。
インストール環境変数を指定する
環境変数を指定する方法は次のとおりです。
Workload Identity の使用
Connect プロジェクトを指定します。
export PROJECT_ID=PROJECT_IDクラスタのフリート メンバーシップ ID を指定します。
export MEMBERSHIP_ID=MEMBERSHIP_ID
サービス アカウント キーの使用
Connect プロジェクトを指定します。
export PROJECT_ID=PROJECT_IDPROJECT_ID は、ユーザー クラスタ構成ファイルの
gkeConnectセクションに記載されている Google Cloud プロジェクトに置き換えます。ユーザー クラスタの kubeconfig ファイルのパスを指定します。
export KUBECONFIG=PATHPATH は、ユーザー クラスタ kubeconfig ファイルのパスに置き換えます。
Binary Authorization API アクセス サービス アカウントの名前を選択します。
export SA_NAME=SERVICE_ACCOUNT_NAMESERVICE_ACCOUNT_NAME は、任意のサービス アカウント名に置き換えます。Binary Authorization モジュールは、このサービス アカウントを使用して Binary Authorization API にアクセスします。
このガイドで後ほどダウンロードするサービス アカウント キー ファイルのパスを指定します。
export SA_JSON_PATH=SA_KEY_FILE_PATHSA_KEY_FILE_PATH は、サービス アカウントの JSON キーファイルのパスに置き換えます。
ユーザー クラスタに Binary Authorization モジュールをインストールする
Binary Authorization モジュールのインストール手順は次のとおりです。
Workload Identity の使用
フリートの Workload Identity により、Google Cloud サービス アカウントキーのダウンロード、手動でのローテーション、一般的な管理を行うことなく、クラスタ内のワークロードを Google に認証させることができます。フリートの Workload Identity の仕組みと使用するメリットの詳細については、フリート Workload Identity を使用するをご覧ください。
Connect プロジェクトの Kubernetes サービス アカウントに
binaryauthorization.policyEvaluatorロールを付与します。gcloud projects add-iam-policy-binding ${PROJECT_ID} \ --member="serviceAccount:${PROJECT_ID}.svc.id.goog[binauthz-system/binauthz-admin]" \ --role="roles/binaryauthorization.policyEvaluator"作業ディレクトリを作成します。
binauthzというディレクトリを作成します。このディレクトリに移動します。
manifest-wi-0.2.6.yaml.tmplファイルをダウンロードします。このファイルは、GKE クラスタのユーザー クラスタに Binary Authorization モジュールをインストールするために使用します。GKE on Bare Metal
gsutil cp gs://anthos-baremetal-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .GKE on VMware
gsutil cp gs://gke-on-prem-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .テンプレート内の環境変数を置き換えます。
envsubst < manifest-wi-0.2.6.yaml.tmpl > manifest-0.2.6.yamlユーザー クラスタに Binary Authorization モジュールをインストールします。
kubectl apply -f manifest-0.2.6.yamlDeployment が作成されたことを確認します。
kubectl get pod --namespace binauthz-system次の出力のように、
StatusがRunning、Ready が 1/1 の Podbinauthz-module-deployment-*が表示されます。NAME READY STATUS RESTARTS AGE binauthz-module-deployment-5fddf9594f-qjprz 1/1 Running 0 11s
サービス アカウント キーの使用
Google Cloud CLI のデフォルト プロジェクトを設定します。
gcloud config set project ${PROJECT_ID}Binary Authorization API アクセス サービス アカウントを作成します。
gcloud iam service-accounts create ${SA_NAME}Connect プロジェクトの Binary Authorization API アクセス サービス アカウントに
binaryauthorization.policyEvaluatorロールを付与します。gcloud projects add-iam-policy-binding ${PROJECT_ID}\ --member="serviceAccount:${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \ --role="roles/binaryauthorization.policyEvaluator"作業ディレクトリを作成します。
binauthzというディレクトリを作成します。このディレクトリに移動します。
manifest-0.2.6.yamlファイルをダウンロードします。このファイルは、GKE クラスタのユーザー クラスタに Binary Authorization モジュールをインストールするために使用します。anthos_clusters_on_bare_metal
gsutil cp gs://anthos-baremetal-release/binauthz/manifest-0.2.6.yaml .anthos_clusters_on_vmware
gsutil cp gs://gke-on-prem-release/binauthz/manifest-0.2.6.yaml .binauthz-systemNamespace の YAML ファイルを作成します。namespace.yamlという名前のファイルに次のものをコピーします。apiVersion: v1 kind: Namespace metadata: labels: control-plane: binauthz-controller name: binauthz-systemユーザー クラスタで Namespace を作成します。
kubectl apply -f namespace.yaml次のような出力が表示されます。
namespace/binauthz-system created作成したサービス アカウントの JSON キーファイルをダウンロードします。
gcloud iam service-accounts keys create ${SA_JSON_PATH} --iam-account ${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.comサービス アカウント キーを Kubernetes Secret としてユーザー クラスタに保存します。
kubectl --namespace binauthz-system create secret generic binauthz-sa --from-file=key.json=${SA_JSON_PATH}ユーザー クラスタに Binary Authorization モジュールをインストールします。
kubectl apply -f manifest-0.2.6.yamlDeployment が作成されたことを確認します。
kubectl get pod --namespace binauthz-system次の出力のように、
StatusがRunning、Ready が 1/1 の Podbinauthz-module-deployment-*が表示されます。NAME READY STATUS RESTARTS AGE binauthz-module-deployment-5fddf9594f-qjprz 1/1 Running 0 11s
Binary Authorization ポリシーを設定して使用する
このセクションでは、GKE クラスタに Binary Authorization ポリシーを設定し、使用する方法を説明します。
それぞれの例でポリシーを構成し、GKE クラスタにコンテナ イメージをデプロイしてテストします。
すべて許可
このセクションでは、成功例について説明します。コンテナ イメージがポリシーを満たしてデプロイされるように、Binary Authorization ポリシーを構成します。
Google Cloud で次の操作を行います。
コンソール
Google Cloud Console で [Binary Authorization] ページに移動します。
必ず Connect プロジェクト ID を選択してください。
[ポリシーの編集] をクリックします。
[プロジェクトのデフォルト ルール] で [すべてのイメージを許可] をオンにします。
[ポリシーを保存] をクリックします。
gcloud
Connect プロジェクトの
PROJECT_IDを設定します。このプロジェクト ID は、ユーザー クラスタ構成ファイルのgkeConnectフィールドで確認できます。export PROJECT_ID=PROJECT_IDデフォルトの Google Cloud プロジェクトを設定します。
gcloud config set project ${PROJECT_ID}ポリシー YAML ファイルをローカル システムにエクスポートします。
gcloud container binauthz policy export > policy.yamlYAML ファイルは、次のようになります。
defaultAdmissionRule: enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG evaluationMode: ALWAYS_ALLOW globalPolicyEvaluationMode: ENABLE name: projects/<var>PROJECT_ID</var>/policypolicy.yamlを編集します。evaluationModeをALWAYS_ALLOWに設定します。ファイルに
requireAttestationsByブロックがある場合は、そのブロックを削除します。ファイルを保存します。
次のように
policy.yamlをインポートします。gcloud container binauthz policy import policy.yaml
除外イメージを許可リストに追加するには、ポリシー ファイルに次の行を追加します。
admissionWhitelistPatterns: - namePattern: EXEMPT_IMAGE_PATH
EXEMPT_IMAGE_PATH は、除外するイメージのパスに置き換えます。除外するイメージを追加するには、- namePattern エントリを追加します。admissionWhitelistPatterns の詳細をご確認ください。
GKE クラスタの管理ワークステーションで、次の操作を行います。
Pod のマニフェスト ファイルを作成します。
以下の行を
pod.yamlという名前のファイルに保存します。apiVersion: v1 kind: Pod metadata: name: test-pod spec: containers: - name: test-container image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4Pod を作成します。
kubectl apply -f pod.yamlPod が正常にデプロイされたことがわかります。
Pod を削除します。
kubectl delete -f pod.yaml
すべて禁止
このセクションでは、失敗例について説明します。このセクションでは、コンテナ イメージのデプロイを許可しないように、デフォルトのポリシーを構成します。
Google Cloud で次の操作を行います。
コンソール
Google Cloud Console で [Binary Authorization] ページに移動します。
Connect プロジェクトが選択されていることを確認します。
[ポリシーの編集] をクリックします。
[プロジェクトのデフォルト ルール] で [すべてのイメージを禁止] を選択します。
[ポリシーを保存] をクリックします。
gcloud
PROJECT_IDは、実際の Connect プロジェクト ID に設定しますexport PROJECT_ID=PROJECT_IDデフォルトの Google Cloud プロジェクトを設定します。
gcloud config set project ${PROJECT_ID}ポリシーの YAML ファイルをエクスポートします。
gcloud container binauthz policy export > policy.yamlpolicy.yamlを編集します。evaluationModeをALWAYS_DENYに設定します。ファイルに
requireAttestationsByブロックがある場合は、そのブロックを削除します。ファイルを保存します。
次のように
policy.yamlをインポートします。gcloud container binauthz policy import policy.yaml
GKE クラスタの管理ワークステーションで、次の操作を行います。
Pod のマニフェスト ファイルを作成します。
以下の行を
pod.yamlという名前のファイルに保存します。apiVersion: v1 kind: Pod metadata: name: test-pod spec: containers: - name: test-container image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4Pod を作成します。
kubectl apply -f pod.yamlPod がデプロイからブロックされていると表示されます。出力は次のようになります。
Error from server (VIOLATES_POLICY): error when creating "pod.yaml": admission webhook "binaryauthorization.googleapis.com" denied the request: Denied by default admission rule. Overridden by evaluation mode
ユーザー クラスタのリソース ID の取得
このセクションでは、ユーザー クラスタのクラスタ リソース ID を作成する方法について説明します。Binary Authorization ポリシーでは、クラスタ固有のルールを作成できます。これらのルールは、クラスタ ID に基づいてクラスタ固有のリソース ID に関連付けます。
リソース ID は次のように取得します。
コンソール
Google Cloud コンソールで、GKE の [クラスタ] ページに移動します。
GKE クラスタの Connect プロジェクト ID を選択します。このプロジェクト ID は、ユーザー クラスタ構成ファイルの
gkeConnectセクションで確認できます。[Anthos マネージド クラスタ] の [名前] 列で、クラスタ ID を見つけます。
リソース ID を作成するには、リソース ID が
global.CLUSTER_IDの形式になるように、クラスタ ID に接頭辞global.を追加します。
gcloud
SSH を使用して GKE クラスタの管理ワークステーションに接続します。
管理ワークステーションで、次のコマンドを実行します。
kubectl get membership -o yaml出力の
spec.owner.idフィールドからクラスタ ID を取得します。出力例を次に示します。apiVersion: v1 items: - apiVersion: hub.gke.io/v1 kind: Membership ... spec: owner: id: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/my-cluster-id出力例の中で、クラスタ ID は
my-cluster-idです。リソース ID を作成するには、クラスタ ID に接頭辞
global.を追加します。この例で、リソース ID はglobal.my-cluster-idです。
このリソース ID は、クラスタ固有のルールを定義するときに使用します。Google Cloud コンソールまたは gcloud CLI を使用してクラスタ固有のルールを設定する方法を確認してください。
障害ポリシーを更新する
Binary Authorization モジュールの Webhook には、フェイル オープンまたはフェイル クローズを構成できます。
フェイル クローズ
フェイル クローズするように障害ポリシーを更新するには、次のようにします。
manifest-0.2.6.yaml ファイルを編集して、failurePolicy を
Failに設定します。Webhook を再度有効にします。
kubectl apply -f manifest-0.2.6.yaml次のような出力が表示されます。
serviceaccount/binauthz-admin unchanged role.rbac.authorization.k8s.io/binauthz-role configured clusterrole.rbac.authorization.k8s.io/binauthz-role configured rolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged clusterrolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged secret/binauthz-tls unchanged service/binauthz unchanged deployment.apps/binauthz-module-deployment unchanged validatingwebhookconfiguration.admissionregistration.k8s.io/binauthz-validating-webhook-configuration configured
フェイル オープン
フェイル オープンするように障害ポリシーを更新するには、次のようにします。
manifest-0.2.6.yaml ファイルを編集して、failurePolicy を
Ignoreに設定します。Webhook を再度有効にします。
kubectl apply -f manifest-0.2.6.yaml次のような出力が表示されます。
serviceaccount/binauthz-admin unchanged role.rbac.authorization.k8s.io/binauthz-role configured clusterrole.rbac.authorization.k8s.io/binauthz-role configured rolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged clusterrolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged secret/binauthz-tls unchanged service/binauthz unchanged deployment.apps/binauthz-module-deployment unchanged validatingwebhookconfiguration.admissionregistration.k8s.io/binauthz-validating-webhook-configuration configured
詳細については、Webhook 障害ポリシーをご覧ください。
クリーンアップ
次のコードサンプルでは、Webhook を無効にする方法を示します。
kubectl delete ValidatingWebhookConfiguration/binauthz-validating-webhook-configuration次のコードサンプルでは、Webhook を再度有効にする方法を示します。
kubectl apply -f manifest-0.2.6.yaml次のコードサンプルでは、Binary Authorization に関連するすべてのリソースを削除する方法を示します。
kubectl delete -f manifest-0.2.6.yaml kubectl delete namespace binauthz-system
次のステップ
- ドライランを有効にするで、Pod の作成を実際にブロックせずに、Pod の作成時にポリシーの遵守を確認する方法を確認する。
- ブレークグラスを使用するで、通常であれば Binary Authorization 施行者がブロックする Pod を強制的に作成する方法を確認する。
built-by-cloud-build認証者を使用して、Cloud Build によってビルドされたイメージのみをデプロイする(プレビュー)。- 認証者ベースの Binary Authorization ポリシーを実装するには、以下をご覧ください。
- Google Cloud Console またはコマンドライン ツールを使用してポリシーを構成する。証明書を要求するデフォルト ルールまたはクラスタ固有のルールを設定する。
- Google Cloud Console またはコマンドライン ツールを使用して認証者を作成する。
- 証明書を作成する。
- GKE クラスタ用の Binary Authorization に関連するログイベントを表示する。Cloud Audit Logs のイベントを表示するをご覧ください。
- 指標をモニタリングする。