Memperbarui kebijakan Otorisasi Biner

Dokumen ini menjelaskan cara mengecualikan gambar di kebijakan Otorisasi Biner.

Dalam dokumen ini, Anda akan memperbarui kebijakan untuk mengecualikan image container di Container Registry dan Artifact Registry dari penerapan Otorisasi Biner serta menetapkan aturan default untuk melarang deployment semua container lain.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Aktifkan API Artifact Registry, Binary Authorization.

    Mengaktifkan API

  5. Menginstal Google Cloud CLI.

  6. Untuk initialize gcloud CLI, jalankan perintah berikut: 

    gcloud init

  7. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  8. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  9. Aktifkan API Artifact Registry, Binary Authorization.

    Mengaktifkan API

  10. Menginstal Google Cloud CLI.

  11. Untuk initialize gcloud CLI, jalankan perintah berikut: 

    gcloud init
  12. Jika Anda tidak menggunakan Cloud Shell, instal kubectl.

Membuat cluster yang mengaktifkan Otorisasi Biner

Buat cluster GKE dengan Otorisasi Biner yang diaktifkan. Ini adalah cluster tempat Anda ingin menjalankan image container yang telah di-deploy.

Konsol Google Cloud

  1. Buka halaman Cluster GKE di Google Cloud Console.

    Buka GKE

    Konsol akan menampilkan daftar cluster GKE di project Google Cloud Anda.

  2. Klik Buat Cluster.

  3. Masukkan test-cluster di kolom Name.

    Kolom nama di template cluster standar

  4. Pilih Zonal di opsi Location Type.

  5. Pilih us-central1-a dari daftar drop-down Zone.

  6. Klik link Keamanan untuk menampilkan panel Keamanan.

  7. Di panel Security, pilih Enable Binary Authorization.

    Aktifkan opsi Otorisasi Biner

  8. Pilih Enforce-only.

  9. Klik Create.

gcloud

Jalankan gcloud container clusters create dengan flag --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE diaktifkan.

gcloud container clusters create \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --zone us-central1-a \
    test-cluster

Lihat kebijakan Default

Secara default, kebijakan Otorisasi Biner Anda dikonfigurasi untuk mengizinkan semua image container di-deploy.

Konsol Google Cloud

Untuk melihat kebijakan default, lakukan hal berikut:

  1. Buka halaman Otorisasi Biner di Konsol Google Cloud.

    Buka Otorisasi Biner

    Konsol akan menampilkan detail tentang kebijakan tersebut.

  2. Klik Edit Kebijakan.

  3. Di Project Default Rule, opsi Allow All Images dipilih.

gcloud

Untuk melihat kebijakan default, ekspor file YAML kebijakan, lakukan hal berikut:

gcloud container binauthz policy export

Secara default, file tersebut memiliki konten berikut:

globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_ALLOW
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/<var>PROJECT_ID</var>/policy

REST API

Untuk melihat kebijakan default, ambil dalam format JSON seperti berikut:

curl \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

REST API menampilkan hal berikut:

{
  "name": "projects/PROJECT_ID/policy",
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_ALLOW",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}

Hanya izinkan gambar yang dikecualikan

Bagian ini menjelaskan cara mengubah kebijakan untuk mengecualikan image dan melarang semua image lain untuk di-deploy.

Konsol Google Cloud

Untuk mengubah kebijakan, lakukan hal berikut:

  1. Kembali ke halaman Otorisasi Biner di konsol Google Cloud.

    Buka Otorisasi Biner

  2. Klik Edit Kebijakan.

  3. Pilih Larang Semua Gambar.

  4. Di bagian Gambar yang dikecualikan dari aturan deployment, luaskan Jalur image.

  5. Klik Add Image Path.

    Container Registry

    Di New image path, tempel jalur berikut dari repositori Container Registry:

    gcr.io/google-samples/hello-app:1.0

    Artifact Registry

    Di New image path, tempel jalur berikut dari repositori Artifact Registry:

    us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

  6. Klik Done untuk menyimpan jalur image.

  7. Klik Simpan Kebijakan.

gcloud

Untuk mengubah kebijakan agar mengizinkan image contoh dari Container Registry dan Artifact Registry, lakukan tindakan berikut:

  1. Ekspor file YAML kebijakan:

    gcloud container binauthz policy export  > /tmp/policy.yaml

  2. Di editor teks, ubah evaluationMode dari ALWAYS_ALLOW menjadi ALWAYS_DENY, lalu tambahkan gambar yang dikecualikan ke admissionWhitelistPatterns.

    Untuk mengecualikan contoh image berikut dari Container Registry dan Artifact Registry, ubah file YAML kebijakan Anda sebagai berikut:

    admissionWhitelistPatterns:
- namePattern: gcr.io/google-samples/hello-app:1.0
- namePattern: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_DENY
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/<var>PROJECT_ID</var>/policy

  3. Impor kembali file YAML kebijakan ke Otorisasi Biner:

    gcloud container binauthz policy import /tmp/policy.yaml

REST API

Untuk mengubah kebijakan, lakukan hal berikut:

  1. Buat file teks dengan kebijakan yang diperbarui dalam format JSON:

    cat > /tmp/policy.json << EOM
{
  "name": "projects/${PROJECT_ID}/policy",
  "admissionWhitelistPatterns": [
    {
      "namePattern": "gcr.io/google-samples/hello-app:1.0"
    },
    {
      "namePattern": "us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0"
    }
  ],
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_DENY",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}
EOM

  2. Kirim kebijakan yang telah diperbarui ke REST API:

    curl -X PUT \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    --data-binary @/tmp/policy.json  \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

Menguji kebijakan

Untuk menguji kebijakan dengan men-deploy image yang Anda tambahkan ke daftar Exempt image yang diizinkan, lakukan hal berikut:

  1. Men-deploy image yang dikecualikan ke cluster.

    Konsol Google Cloud

    Men-deploy image yang dikecualikan:

    1. Buka halaman Cluster GKE di Google Cloud Console.

      Buka GKE

    2. Klik Deploy.

      Konsol akan meminta Anda untuk memasukkan detail deployment.

    3. Pilih Image Container yang Ada.

    4. Masukkan jalur image container.

      Container Registry

      Untuk men-deploy image dari Container Registry, masukkan hal berikut:

      gcr.io/google-samples/hello-app:1.0

      Artifact Registry

      Untuk men-deploy image dari Artifact Registry, masukkan hal berikut:

      us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

    5. Klik Lanjutkan.

    6. Masukkan hello-server di kolom Application Name.

    7. Klik Deploy.

    kubectl

    Container Registry

    Deploy image dari Container Registry:

    kubectl run hello-server --image gcr.io/google-samples/hello-app:1.0 --port 8080

    Artifact Registry

    Deploy image dari Artifact Registry:

    kubectl run hello-server --image us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 --port 8080

  2. Pastikan bahwa image diizinkan untuk men-deploy:

    Konsol Google Cloud

    Untuk memastikan bahwa image telah di-deploy, lakukan hal berikut:

    1. Buka halaman GKE.

    Buka GKE

    1. Buka halaman Beban Kerja.

    Beban kerja hello-server muncul dengan ikon hijau, yang menunjukkan bahwa beban kerja sedang berjalan.

    kubectl

    Untuk memverifikasi bahwa image diizinkan untuk di-deploy, masukkan perintah berikut:

    kubectl get pods

    Anda melihat gambar berjalan.

  3. Hapus pod.

    Konsol Google Cloud

    Di halaman Workloads GKE:

    1. Pilih workload hello-server.

    2. Klik Delete.

    3. Saat diminta menghapus fasilitas, klik Hapus.

    kubectl 

    kubectl delete pod hello-server

Pembersihan

Agar akun Google Cloud Anda tidak dikenakan biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.

Hapus cluster yang Anda buat di GKE:

Konsol

Untuk menghapus cluster, lakukan langkah berikut:

  1. Buka halaman Cluster GKE di Google Cloud Console.

    Buka GKE

  2. Pilih cluster test-cluster, lalu klik Hapus.

gcloud

Untuk menghapus cluster, masukkan perintah berikut:

gcloud container clusters delete \
    --zone=us-central1-a \
    test-cluster

Langkah selanjutnya