Questo documento mostra come configurare Autorizzazione binaria per cluster on-premise creati come parte di Google Distributed Cloud. Ti mostra quindi come per configurare un criterio di Autorizzazione binaria di esempio.
Prima di iniziare
Assicurati che nei cluster sia supportata una versione Google Distributed Cloud. Autorizzazione binaria supporta i seguenti ambienti.
Bare metal
Google Distributed Cloud 1.14 o 1.15. Per la versione 1.16 o successive, Autorizzazione binaria può essere configurate durante la creazione o l'aggiornamento del cluster.
VMware
Distributed Cloud per VMware (Google Distributed Cloud) 1.4 o versioni successive.
Il servizio Autorizzazione binaria utilizza un indirizzo IP esterno, accessibile tramite una normale connessione a internet. Configura il tuo regole firewall per HTTPS per consentire al cluster utente di accedere all'endpoint
binaryauthorization.googleapis.com
.Bare metal
Configura le regole firewall di Google Distributed Cloud.
VMware
Configura le regole firewall di Google Distributed Cloud.
Se vuoi utilizzare Cloud Audit Logs centralizzato visualizzare le voci di audit log, incluse quelle di Autorizzazione binaria per esterni a Google Cloud, devi configurare Cloud Audit Logs nella configurazione del tuo cluster.
Bare metal
Configura Cloud Audit Logs in Google Distributed Cloud.
VMware
Configura Cloud Audit Logs in Google Distributed Cloud.
Devi abilitare l'API Binary Authorization:
Vai alla console Google Cloud.
Nell'elenco a discesa del progetto, seleziona il progetto host del parco risorse. Puoi trovarlo nel Sezione
gkeConnect
del file di configurazione del cluster utente. Questo è il progetto Google Cloud che connette il cluster utente a Google Cloud.
Configura Autorizzazione binaria
In questa sezione devi configurare Autorizzazione binaria nel tuo cluster on-premise.
Specifica le variabili di ambiente di installazione
Per specificare le variabili di ambiente:
Utilizzare Workload Identity
Specifica il progetto host del parco risorse:
export PROJECT_ID=PROJECT_ID
Imposta l'ID abbonamento del parco risorse sul tuo ID cluster:
L'ID abbonamento è elencato nella colonna
NAME
quando esegui Comandogcloud container fleet memberships list
.export MEMBERSHIP_ID=CLUSTER_NAME
Utilizzo della chiave dell'account di servizio
Specifica il progetto host del parco risorse:
export PROJECT_ID=PROJECT_ID
Sostituisci PROJECT_ID con il progetto Google Cloud nella Sezione
gkeConnect
del file di configurazione del cluster utente.Specifica il percorso del file kubeconfig del cluster utente:
export KUBECONFIG=PATH
Sostituisci PATH con il percorso del file kubeconfig del cluster utente.
Scegli un nome per l'account di servizio di accesso all'API Binary Authorization:
export SA_NAME=SERVICE_ACCOUNT_NAME
Sostituisci SERVICE_ACCOUNT_NAME con il nome dell'account di servizio scelto. Il modulo di Autorizzazione binaria utilizza questo servizio per accedere all'API Binary Authorization.
Specifica il percorso del file delle chiavi dell'account di servizio che scarichi più avanti in questa guida:
export SA_JSON_PATH=SA_KEY_FILE_PATH
Sostituisci SA_KEY_FILE_PATH con il percorso del file chiave JSON per l'account di servizio.
Installa il modulo Autorizzazione binaria nel cluster utente
Per installare il modulo Autorizzazione binaria, segui questi passaggi:
Utilizzare Workload Identity
Workload Identity del parco risorse consente ai carichi di lavoro nel tuo cluster di eseguire l'autenticazione su Google senza che tu debba scaricare, ruotare manualmente e in generale gestire le chiavi degli account di servizio Google Cloud. Puoi scoprire di più sul funzionamento di Workload Identity del parco risorse e sui vantaggi del suo utilizzo in Utilizza Workload Identity del parco risorse.
Concedi il ruolo
binaryauthorization.policyEvaluator
a l'account di servizio Kubernetes sul progetto host del parco risorse:gcloud projects add-iam-policy-binding ${PROJECT_ID} \ --member="serviceAccount:${PROJECT_ID}.svc.id.goog[binauthz-system/binauthz-admin]" \ --role="roles/binaryauthorization.policyEvaluator"
Crea una directory di lavoro:
Crea una directory denominata
binauthz
.Passa alla directory.
Scarica il file
manifest-wi-0.2.6.yaml.tmpl
, che utilizzi per installare il Modulo di autorizzazione binaria nel cluster di utenti:Bare metal
gcloud storage cp gs://anthos-baremetal-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .
VMware
gcloud storage cp gs://gke-on-prem-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .
Sostituisci le variabili di ambiente nel modello:
envsubst < manifest-wi-0.2.6.yaml.tmpl > manifest-0.2.6.yaml
Installa il modulo di Autorizzazione binaria nel cluster utente:
kubectl apply -f manifest-0.2.6.yaml
Verifica che il deployment sia stato creato:
kubectl get pod --namespace binauthz-system
Il pod
binauthz-module-deployment-*
è elencato conStatus
diRunning
e 1/1 pod pronti, simile a questo output:NAME READY STATUS RESTARTS AGE binauthz-module-deployment-5fddf9594f-qjprz 1/1 Running 0 11s
Utilizzo della chiave dell'account di servizio
Imposta il progetto predefinito per Google Cloud CLI:
gcloud config set project ${PROJECT_ID}
Crea un account di servizio di accesso all'API Binary Authorization:
gcloud iam service-accounts create ${SA_NAME}
Concedi il ruolo
binaryauthorization.policyEvaluator
a l'account di servizio di accesso all'API Binary Authorization sul progetto host del parco risorse:gcloud projects add-iam-policy-binding ${PROJECT_ID}\ --member="serviceAccount:${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \ --role="roles/binaryauthorization.policyEvaluator"
Crea una directory di lavoro:
Crea una directory denominata
binauthz
.Passa alla directory.
Scarica il file
manifest-0.2.6.yaml
, che utilizzi per installare l'applicazione Modulo di Autorizzazione binaria nell'utente cluster:Bare metal
gcloud storage cp gs://anthos-baremetal-release/binauthz/manifest-0.2.6.yaml .
VMware
gcloud storage cp gs://gke-on-prem-release/binauthz/manifest-0.2.6.yaml .
Crea un file YAML per lo spazio dei nomi
binauthz-system
.Copia quanto segue in un file denominato
namespace.yaml
:apiVersion: v1 kind: Namespace metadata: labels: control-plane: binauthz-controller name: binauthz-system
Crea lo spazio dei nomi nel tuo cluster utente:
kubectl apply -f namespace.yaml
Verrà visualizzato un output simile al seguente:
namespace/binauthz-system created
Scarica un file di chiave JSON per il tuo account di servizio:
gcloud iam service-accounts keys create ${SA_JSON_PATH} --iam-account ${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com
Salva la chiave dell'account di servizio come secret di Kubernetes nel tuo cluster utente:
kubectl --namespace binauthz-system create secret generic binauthz-sa --from-file=key.json=${SA_JSON_PATH}
Installa il modulo di Autorizzazione binaria nel cluster utente:
kubectl apply -f manifest-0.2.6.yaml
Verifica che il deployment sia stato creato:
kubectl get pod --namespace binauthz-system
Il pod
binauthz-module-deployment-*
è elencato conStatus
diRunning
e 1/1 pod pronti, simile a questo output:NAME READY STATUS RESTARTS AGE binauthz-module-deployment-5fddf9594f-qjprz 1/1 Running 0 11s
Configurare e utilizzare i criteri di Autorizzazione binaria
Questa sezione mostra come configurare e utilizzare i criteri di Autorizzazione binaria per i cluster on-premise.
In ogni esempio, devi configurare il criterio e quindi testarlo cercando di di un'immagine container nel tuo cluster.
Consenti tutto
Questa sezione illustra un caso di successo. Configuri criterio di Autorizzazione binaria in modo che un'immagine container soddisfi il criterio e il deployment.
In Google Cloud, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Autorizzazione binaria.
Assicurati di selezionare l'ID progetto host del parco risorse.
Fai clic su Modifica criterio.
In Regola predefinita del progetto, seleziona Consenti tutte le immagini.
Fai clic su Save Policy (Salva criterio).
gcloud
Imposta
PROJECT_ID
per il progetto host del parco risorse. Puoi trovare questo ID progetto nel campogkeConnect
della di configurazione del cluster utente.export PROJECT_ID=PROJECT_ID
Impostare il progetto Google Cloud predefinito.
gcloud config set project ${PROJECT_ID}
Esporta il file YAML del criterio nel tuo sistema locale:
gcloud container binauthz policy export > policy.yaml
Il tuo file YAML ha il seguente aspetto:
defaultAdmissionRule: enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG evaluationMode: ALWAYS_ALLOW globalPolicyEvaluationMode: ENABLE name: projects/<var>PROJECT_ID</var>/policy
Modifica
policy.yaml
.Imposta
evaluationMode
suALWAYS_ALLOW
.Se il file contiene un blocco
requireAttestationsBy
, questo blocco.Salva il file.
Importa
policy.yaml
nel seguente modo:gcloud container binauthz policy import policy.yaml
Per aggiungere un'immagine esente alla lista consentita, aggiungi l'elemento al file dei criteri:
admissionWhitelistPatterns: - namePattern: EXEMPT_IMAGE_PATH
Sostituisci EXEMPT_IMAGE_PATH
con il percorso dell'immagine da escludere. Per escludere altre immagini, aggiungi altre voci - namePattern
. Scopri di più su admissionWhitelistPatterns
.
Sulla workstation di amministrazione:
Creare un file manifest per un pod.
Salva quanto segue in un file denominato
pod.yaml
:apiVersion: v1 kind: Pod metadata: name: test-pod spec: containers: - name: test-container image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4
Crea il pod:
kubectl apply -f pod.yaml
Puoi vedere che il deployment del pod è stato eseguito correttamente.
Elimina il pod:
kubectl delete -f pod.yaml
Disattiva tutto
Questa sezione illustra un caso di errore. In questa sezione, configurerai criterio predefinito per impedire il deployment dell'immagine container.
In Google Cloud, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Autorizzazione binaria.
Assicurati che sia selezionato il progetto host del parco risorse.
Fai clic su Modifica criterio.
In Regola predefinita del progetto, seleziona Non consentire tutte le immagini.
Fai clic su Salva criterio.
gcloud
Imposta
PROJECT_ID
su ID progetto host del parco risorse.export PROJECT_ID=PROJECT_ID
Impostare il progetto Google Cloud predefinito.
gcloud config set project ${PROJECT_ID}
Esporta il file YAML del criterio:
gcloud container binauthz policy export > policy.yaml
Modifica
policy.yaml
.Imposta
evaluationMode
suALWAYS_DENY
.Se il file contiene un blocco
requireAttestationsBy
, questo blocco.Salva il file.
Importa
policy.yaml
nel seguente modo:gcloud container binauthz policy import policy.yaml
Sulla workstation di amministrazione:
Creare un file manifest per un pod.
Salva quanto segue in un file denominato
pod.yaml
:apiVersion: v1 kind: Pod metadata: name: test-pod spec: containers: - name: test-container image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4
Crea il pod:
kubectl apply -f pod.yaml
Puoi notare che il deployment del pod è stato bloccato. L'output ha il seguente aspetto:
Error from server (VIOLATES_POLICY): error when creating "pod.yaml": admission webhook "binaryauthorization.googleapis.com" denied the request: Denied by default admission rule. Overridden by evaluation mode
Recupera l'ID risorsa cluster utente
Questa sezione mostra come comporre l'ID risorsa del cluster per l'utente in un cluster Kubernetes. Nel criterio di autorizzazione binaria, puoi creare regole specifiche per i cluster. Devi associare queste regole a un ID risorsa specifico del cluster, che in base all'ID cluster.
L'ID risorsa viene visualizzato come segue:
Console
Nella console Google Cloud, vai a Cluster GKE .
Seleziona l'ID progetto host del parco risorse per i tuoi cluster. Puoi trovare questo ID progetto Sezione
gkeConnect
del file di configurazione del cluster utente.Nell'elenco dei cluster, individua l'ID cluster sotto il campo Nome. colonna.
Per creare l'ID risorsa, aggiungi il prefisso
global.
all'ID cluster in modo che che l'ID risorsa abbia il seguente formato:global.CLUSTER_ID
.
gcloud
Utilizza SSH per connetterti alla workstation di amministrazione.
Sulla workstation di amministrazione, esegui questo comando:
kubectl get membership -o yaml
Ottieni l'ID cluster dal campo
spec.owner.id
dell'output. Output di esempio che segue:apiVersion: v1 items: - apiVersion: hub.gke.io/v1 kind: Membership ... spec: owner: id: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/my-cluster-id
Nell'output di esempio, l'ID cluster è
my-cluster-id
.Per creare l'ID risorsa, aggiungi il prefisso
global.
all'ID cluster. Nel Nell'esempio, l'ID risorsa èglobal.my-cluster-id
.
Puoi utilizzare questo ID risorsa quando definisci regole specifiche per il cluster. Scopri come Impostare regole specifiche per il cluster utilizzando la console Google Cloud o gcloud CLI.
Aggiorna il criterio di errore
Il webhook del Modulo di autorizzazione binaria può essere configurato per fail open o fail Close.
Chiusura non riuscita
Per aggiornare il criterio di errore per la chiusura non riuscita, segui questi passaggi:
Modifica il file manifest-0.2.6.yaml e imposta failurePolicy su
Fail
Riattiva il webhook:
kubectl apply -f manifest-0.2.6.yaml
Viene visualizzato un output simile al seguente:
serviceaccount/binauthz-admin unchanged role.rbac.authorization.k8s.io/binauthz-role configured clusterrole.rbac.authorization.k8s.io/binauthz-role configured rolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged clusterrolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged secret/binauthz-tls unchanged service/binauthz unchanged deployment.apps/binauthz-module-deployment unchanged validatingwebhookconfiguration.admissionregistration.k8s.io/binauthz-validating-webhook-configuration configured
Fail open
Per aggiornare il criterio di errore per la mancata apertura, segui questi passaggi:
Modifica il file manifest-0.2.6.yaml e imposta failurePolicy su
Ignore
Riattiva il webhook:
kubectl apply -f manifest-0.2.6.yaml
Verrà visualizzato un output simile al seguente:
serviceaccount/binauthz-admin unchanged role.rbac.authorization.k8s.io/binauthz-role configured clusterrole.rbac.authorization.k8s.io/binauthz-role configured rolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged clusterrolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged secret/binauthz-tls unchanged service/binauthz unchanged deployment.apps/binauthz-module-deployment unchanged validatingwebhookconfiguration.admissionregistration.k8s.io/binauthz-validating-webhook-configuration configured
Per scoprire di più, consulta i criteri di errore dei webhook.
Esegui la pulizia
Il seguente esempio di codice mostra come disattivare il webhook:
kubectl delete ValidatingWebhookConfiguration/binauthz-validating-webhook-configuration
Il seguente esempio di codice mostra come riattivare il webhook:
kubectl apply -f manifest-0.2.6.yaml
L'esempio di codice seguente mostra come eliminare tutte le risorse correlate su Autorizzazione binaria:
kubectl delete -f manifest-0.2.6.yaml kubectl delete namespace binauthz-system
Passaggi successivi
- Verificare la conformità ai criteri al momento della creazione dei pod senza bloccare effettivamente del pod, consulta Abilitare la modalità dry run.
- per forzare la creazione di un pod che viene applicato dall'applicazione forzata di Autorizzazione binaria. altrimenti si blocca, consulta Utilizzare il deployment di emergenza.
- Utilizza l'attestatore
built-by-cloud-build
per eseguire il deployment solo delle immagini create da Cloud Build. - Per implementare un criterio di Autorizzazione binaria basato su attestatori, consulta quanto segue:
- Configurare un criterio utilizzando la console Google Cloud o lo strumento a riga di comando. Imposta il valore predefinito o specifica del cluster per richiedere attestazioni.
- Crea un attestatore utilizzando la console Google Cloud o lo strumento a riga di comando.
- Crea un'attestazione.
- Per visualizzare gli eventi dei log relativi all'autorizzazione di binari per Distributed Cloud, consulta Visualizzare gli eventi di Cloud Audit Logs.
- Monitora le metriche.