Memperbarui kebijakan Otorisasi Biner
Dokumen ini menjelaskan cara mengecualikan image dalam kebijakan Otorisasi Biner.
Dalam dokumen ini, Anda akan memperbarui kebijakan untuk mengecualikan image container di Container Registry dan Artifact Registry dari penerapan Otorisasi Biner dan menetapkan aturan default untuk melarang semua container lainnya di-deploy.
Sebelum memulai
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Binary Authorization APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Binary Authorization APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Jika Anda tidak menggunakan Cloud Shell,
instal
kubectl
.
Membuat cluster dengan Otorisasi Biner diaktifkan
Buat cluster GKE dengan Otorisasi Biner yang diaktifkan. Ini adalah cluster tempat Anda ingin image container yang di-deploy berjalan.
Konsol Google Cloud
Buka halaman Clusters GKE di konsol Google Cloud.
Konsol menampilkan daftar cluster GKE dalam project Google Cloud Anda.
Klik Create Cluster.
Masukkan
test-cluster
di kolom Name.Pilih Zonal di opsi Location Type.
Pilih
us-central1-a
dari menu drop-down Zone.Klik link Keamanan untuk menampilkan panel Keamanan.
Di panel Security, pilih Enable Binary Authorization.
Pilih Hanya terapkan.
Klik Buat.
gcloud
Jalankan gcloud container clusters create
dengan flag --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
diaktifkan.
gcloud container clusters create \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone us-central1-a \ test-cluster
Melihat Kebijakan default
Secara default, kebijakan Otorisasi Biner Anda dikonfigurasi untuk mengizinkan semua image container di-deploy.
Konsol Google Cloud
Untuk melihat kebijakan default, lakukan hal berikut:
Buka halaman Binary Authorization di konsol Google Cloud.
Konsol akan menampilkan detail tentang kebijakan.
Klik Edit Policy.
Di Project Default Rule, opsi Allow All Images dipilih.
gcloud
Untuk melihat kebijakan default, ekspor file YAML kebijakan, lakukan hal berikut:
gcloud container binauthz policy export
Secara default, file memiliki konten berikut:
globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
evaluationMode: ALWAYS_ALLOW
enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/<var>PROJECT_ID</var>/policy
REST API
Untuk melihat kebijakan default, ambil dalam format JSON sebagai berikut:
curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: ${PROJECT_ID}" \ "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"
REST API menampilkan hal berikut:
{ "name": "projects/PROJECT_ID/policy", "globalPolicyEvaluationMode": "ENABLE", "defaultAdmissionRule": { "evaluationMode": "ALWAYS_ALLOW", "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG" } }
Hanya izinkan gambar yang dikecualikan
Bagian ini menjelaskan cara mengubah kebijakan untuk mengecualikan gambar dan tidak mengizinkan deployment semua gambar lainnya.
Konsol Google Cloud
Untuk mengubah kebijakan, lakukan hal berikut:
Kembali ke halaman Binary Authorization di Konsol Google Cloud.
Klik Edit Policy.
Pilih Larang Semua Gambar.
Di bagian Gambar yang dikecualikan dari aturan deployment, luaskan Jalur image.
Klik Tambahkan Jalur Gambar.
Container Registry
Di Jalur image baru, tempel jalur berikut dari repositori Container Registry:
gcr.io/google-samples/hello-app:1.0
Artifact Registry
Di New image path, tempel jalur berikut dari repositori Artifact Registry:
us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
Klik Done untuk menyimpan jalur gambar.
Klik Simpan Kebijakan.
gcloud
Untuk mengubah kebijakan agar mengizinkan contoh image dari Container Registry dan Artifact Registry, lakukan hal berikut:
Ekspor file YAML kebijakan:
gcloud container binauthz policy export > /tmp/policy.yaml
Di editor teks, ubah
evaluationMode
dariALWAYS_ALLOW
menjadiALWAYS_DENY
dan tambahkan gambar yang dikecualikan keadmissionWhitelistPatterns
.Untuk mengecualikan contoh image berikut dari Container Registry dan Artifact Registry, ubah file YAML kebijakan Anda sebagai berikut:
admissionWhitelistPatterns: - namePattern: gcr.io/google-samples/hello-app:1.0 - namePattern: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 globalPolicyEvaluationMode: ENABLE defaultAdmissionRule: evaluationMode: ALWAYS_DENY enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG name: projects/<var>PROJECT_ID</var>/policy
Impor file YAML kebijakan kembali ke Otorisasi Biner:
gcloud container binauthz policy import /tmp/policy.yaml
REST API
Untuk mengubah kebijakan, lakukan hal berikut:
Buat file teks dengan kebijakan yang diperbarui dalam format JSON:
cat > /tmp/policy.json << EOM { "name": "projects/${PROJECT_ID}/policy", "admissionWhitelistPatterns": [ { "namePattern": "gcr.io/google-samples/hello-app:1.0" }, { "namePattern": "us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0" } ], "globalPolicyEvaluationMode": "ENABLE", "defaultAdmissionRule": { "evaluationMode": "ALWAYS_DENY", "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG" } } EOM
Kirim kebijakan yang telah diperbarui ke REST API:
curl -X PUT \ -H "Content-Type: application/json" \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: ${PROJECT_ID}" \ --data-binary @/tmp/policy.json \ "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"
Menguji kebijakan
Untuk menguji kebijakan dengan men-deploy image yang Anda tambahkan ke daftar yang diizinkan Exempt image
,
lakukan tindakan berikut:
Deploy image yang dikecualikan ke cluster.
Konsol Google Cloud
Men-deploy image yang dikecualikan:
Buka halaman Clusters GKE di konsol Google Cloud.
Klik Deploy.
Konsol akan meminta Anda memasukkan detail tentang deployment.
Pilih Image Container yang Ada.
Masukkan jalur image container.
Container Registry
Untuk men-deploy image dari Container Registry, masukkan hal berikut:
gcr.io/google-samples/hello-app:1.0
Artifact Registry
Untuk men-deploy image dari Artifact Registry, masukkan hal berikut:
us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
Klik Lanjutkan.
Masukkan
hello-server
di kolom Application Name.Klik Deploy.
kubectl
Container Registry
Deploy image dari Container Registry:
kubectl run hello-server --image gcr.io/google-samples/hello-app:1.0 --port 8080
Artifact Registry
Deploy image dari Artifact Registry:
kubectl run hello-server --image us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 --port 8080
Pastikan image diizinkan untuk di-deploy:
Konsol Google Cloud
Untuk memverifikasi bahwa image telah di-deploy, lakukan tindakan berikut:
- Buka halaman GKE.
- Buka halaman Workloads.
Beban kerja
hello-server
muncul dengan ikon hijau, yang menunjukkan bahwa beban kerja tersebut sedang berjalan.kubectl
Untuk memverifikasi bahwa image diizinkan untuk di-deploy, masukkan perintah berikut:
kubectl get pods
Anda akan melihat gambar berjalan.
Hapus pod.
Konsol Google Cloud
Di halaman Workloads GKE:
Pilih beban kerja hello-server.
Klik Hapus.
Saat diminta untuk menghapus resource, klik Hapus.
kubectl
kubectl delete pod hello-server
Pembersihan
Agar akun Google Cloud Anda tidak dikenai biaya untuk resource yang digunakan di halaman ini, ikuti langkah-langkah berikut.
Hapus cluster yang Anda buat di GKE:
Konsol
Untuk menghapus cluster, lakukan langkah-langkah berikut:
Buka halaman Clusters GKE di konsol Google Cloud.
Pilih cluster
test-cluster
, lalu klik Delete.
gcloud
Untuk menghapus cluster, masukkan perintah berikut:
gcloud container clusters delete \ --zone=us-central1-a \ test-cluster
Langkah berikutnya
- Untuk mempelajari lebih lanjut cara mengecualikan gambar, termasuk menggunakan karakter pengganti untuk mengecualikan beberapa gambar, lihat Mengecualikan gambar.
- Untuk tutorial menyeluruh yang menjelaskan cara menyiapkan dan menerapkan kebijakan yang memerlukan pengesahan, lihat hal berikut:
- Baca referensi kami tentang DevOps dan jelajahi program riset DevOps Research and Assessment (DORA).