Halaman ini diterjemahkan oleh Cloud Translation API.

Memperbarui kebijakan Otorisasi Biner

Dokumen ini menjelaskan cara mengecualikan image dalam kebijakan Otorisasi Biner.

Dalam dokumen ini, Anda akan memperbarui kebijakan untuk mengecualikan image container di Container Registry dan Artifact Registry dari penerapan Otorisasi Biner dan menetapkan aturan default untuk melarang semua container lainnya di-deploy.

Sebelum memulai

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Artifact Registry, Binary Authorization APIs.

Enable the APIs

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Artifact Registry, Binary Authorization APIs.

Enable the APIs

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Jika Anda tidak menggunakan Cloud Shell, instal kubectl.

Membuat cluster dengan Otorisasi Biner diaktifkan

Buat cluster GKE dengan Otorisasi Biner yang diaktifkan. Ini adalah cluster tempat Anda ingin image container yang di-deploy berjalan.

Konsol Google Cloud

Buka halaman Clusters GKE di konsol Google Cloud.

Buka GKE

Konsol menampilkan daftar cluster GKE dalam project Google Cloud Anda.
Klik Create Cluster.
Masukkan test-cluster di kolom Name.
Pilih Zonal di opsi Location Type.
Pilih us-central1-a dari menu drop-down Zone.
Klik link Keamanan untuk menampilkan panel Keamanan.
Di panel Security, pilih Enable Binary Authorization.
Pilih Hanya terapkan.
Klik Buat.

gcloud

Jalankan gcloud container clusters create dengan flag --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE diaktifkan.

gcloud container clusters create \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --zone us-central1-a \
    test-cluster

Melihat Kebijakan default

Secara default, kebijakan Otorisasi Biner Anda dikonfigurasi untuk mengizinkan semua image container di-deploy.

Konsol Google Cloud

Untuk melihat kebijakan default, lakukan hal berikut:

Buka halaman Binary Authorization di konsol Google Cloud.

Buka Otorisasi Biner

Konsol akan menampilkan detail tentang kebijakan.
Klik Edit Policy.
Di Project Default Rule, opsi Allow All Images dipilih.

gcloud

Untuk melihat kebijakan default, ekspor file YAML kebijakan, lakukan hal berikut:

gcloud container binauthz policy export

Secara default, file memiliki konten berikut:

globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_ALLOW
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/<var>PROJECT_ID</var>/policy

REST API

Untuk melihat kebijakan default, ambil dalam format JSON sebagai berikut:

curl \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

REST API menampilkan hal berikut:

{
  "name": "projects/PROJECT_ID/policy",
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_ALLOW",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}

Hanya izinkan gambar yang dikecualikan

Bagian ini menjelaskan cara mengubah kebijakan untuk mengecualikan gambar dan tidak mengizinkan deployment semua gambar lainnya.

Konsol Google Cloud

Untuk mengubah kebijakan, lakukan hal berikut:

Kembali ke halaman Binary Authorization di Konsol Google Cloud.

Buka Otorisasi Biner
Klik Edit Policy.
Pilih Larang Semua Gambar.
Di bagian Gambar yang dikecualikan dari aturan deployment, luaskan Jalur image.
Klik Tambahkan Jalur Gambar.
Container Registry
Di Jalur image baru, tempel jalur berikut dari repositori Container Registry:
```
gcr.io/google-samples/hello-app:1.0
```
Artifact Registry
Di New image path, tempel jalur berikut dari repositori Artifact Registry:
```
us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
```
Klik Done untuk menyimpan jalur gambar.
Klik Simpan Kebijakan.

gcloud

Untuk mengubah kebijakan agar mengizinkan contoh image dari Container Registry dan Artifact Registry, lakukan hal berikut:

Ekspor file YAML kebijakan:

gcloud container binauthz policy export  > /tmp/policy.yaml

Di editor teks, ubah evaluationMode dari ALWAYS_ALLOW menjadi ALWAYS_DENY dan tambahkan gambar yang dikecualikan ke admissionWhitelistPatterns.

Untuk mengecualikan contoh image berikut dari Container Registry dan Artifact Registry, ubah file YAML kebijakan Anda sebagai berikut:

admissionWhitelistPatterns:
- namePattern: gcr.io/google-samples/hello-app:1.0
- namePattern: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_DENY
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/<var>PROJECT_ID</var>/policy

Impor file YAML kebijakan kembali ke Otorisasi Biner:

gcloud container binauthz policy import /tmp/policy.yaml

REST API

Untuk mengubah kebijakan, lakukan hal berikut:

Buat file teks dengan kebijakan yang diperbarui dalam format JSON:

cat > /tmp/policy.json << EOM
{
  "name": "projects/${PROJECT_ID}/policy",
  "admissionWhitelistPatterns": [
    {
      "namePattern": "gcr.io/google-samples/hello-app:1.0"
    },
    {
      "namePattern": "us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0"
    }
  ],
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_DENY",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}
EOM

Kirim kebijakan yang telah diperbarui ke REST API:

curl -X PUT \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    --data-binary @/tmp/policy.json  \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

Menguji kebijakan

Untuk menguji kebijakan dengan men-deploy image yang Anda tambahkan ke daftar yang diizinkan Exempt image, lakukan tindakan berikut:

Deploy image yang dikecualikan ke cluster.
Konsol Google Cloud
Men-deploy image yang dikecualikan:
1. Buka halaman Clusters GKE di konsol Google Cloud.
  
  Buka GKE
2. Klik Deploy.
  
  Konsol akan meminta Anda memasukkan detail tentang deployment.
3. Pilih Image Container yang Ada.
4. Masukkan jalur image container.
  Container Registry
  Untuk men-deploy image dari Container Registry, masukkan hal berikut:
  
  gcr.io/google-samples/hello-app:1.0
  
  Artifact Registry
  Untuk men-deploy image dari Artifact Registry, masukkan hal berikut:
  
  us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
5. Klik Lanjutkan.
6. Masukkan hello-server di kolom Application Name.
7. Klik Deploy.
kubectl
Container Registry
Deploy image dari Container Registry:

kubectl run hello-server --image gcr.io/google-samples/hello-app:1.0 --port 8080
Artifact Registry
Deploy image dari Artifact Registry:

kubectl run hello-server --image us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 --port 8080
Pastikan image diizinkan untuk di-deploy:
Konsol Google Cloud
Untuk memverifikasi bahwa image telah di-deploy, lakukan tindakan berikut:
1. Buka halaman GKE.
Buka GKE
1. Buka halaman Workloads.
Beban kerja hello-server muncul dengan ikon hijau, yang menunjukkan bahwa beban kerja tersebut sedang berjalan.
kubectl
Untuk memverifikasi bahwa image diizinkan untuk di-deploy, masukkan perintah berikut:
```
kubectl get pods
```
Anda akan melihat gambar berjalan.
Hapus pod.
Konsol Google Cloud
Di halaman Workloads GKE:
1. Pilih beban kerja hello-server.
2. Klik Hapus.
3. Saat diminta untuk menghapus resource, klik Hapus.
kubectl
```
kubectl delete pod hello-server
```

Pembersihan

Agar akun Google Cloud Anda tidak dikenai biaya untuk resource yang digunakan di halaman ini, ikuti langkah-langkah berikut.

Hapus cluster yang Anda buat di GKE:

Konsol

Untuk menghapus cluster, lakukan langkah-langkah berikut:

Buka halaman Clusters GKE di konsol Google Cloud.

Buka GKE
Pilih cluster test-cluster, lalu klik Delete.

gcloud

Untuk menghapus cluster, masukkan perintah berikut:

gcloud container clusters delete \
    --zone=us-central1-a \
    test-cluster

Langkah berikutnya

Untuk mempelajari lebih lanjut cara mengecualikan gambar, termasuk menggunakan karakter pengganti untuk mengecualikan beberapa gambar, lihat Mengecualikan gambar.
Untuk tutorial menyeluruh yang menjelaskan cara menyiapkan dan menerapkan kebijakan yang memerlukan pengesahan, lihat hal berikut:
- Mulai menggunakan Google Cloud CLI
- Mulai menggunakan konsol Google Cloud
Baca referensi kami tentang DevOps dan jelajahi program riset DevOps Research and Assessment (DORA).

Memperbarui kebijakan Otorisasi Biner

Sebelum memulai

Membuat cluster dengan Otorisasi Biner diaktifkan

Konsol Google Cloud

gcloud

Melihat Kebijakan default

Konsol Google Cloud

gcloud

REST API

Hanya izinkan gambar yang dikecualikan

Konsol Google Cloud

Container Registry

Artifact Registry

gcloud

REST API

Menguji kebijakan

Konsol Google Cloud

Container Registry

Artifact Registry

kubectl

Container Registry

Artifact Registry

Konsol Google Cloud

kubectl

Konsol Google Cloud

kubectl

Pembersihan

Konsol

gcloud

Langkah berikutnya