Richtlinienbewertungsdienst verwenden

Auf dieser Seite erfahren Sie, wie Sie mit dem Google Cloud CLI-Befehl des Dienstes zur Richtlinienbewertung schnell beurteilen, ob ein Image oder eine Kubernetes-Ressource einer auf einer kontinuierlichen Validierungsprüfung basierenden Plattformrichtlinie entspricht.

Überblick

Der Dienst zur Richtlinienbewertung ist ein Feature der Binärautorisierung, das Sie mit prüfbasierten Plattformrichtlinien der kontinuierlichen Validierung (CV) verwenden können. Der Richtlinienbewertungsdienst wertet bei Bedarf aus, ob ein von Ihnen angegebenes Container-Image einer CV-Plattformrichtlinie entspricht. Der Richtlinienbewertungsdienst ist als gcloud-Kommandozeilenbefehl und als Methode projects.platforms.gke.policies.evaluate verfügbar.

Der CV prüft mindestens einmal alle 24 Stunden auf Richtlinienverstöße. Daher kann es bis zu 24 Stunden dauern, bis CV-Ereignisse in Logging angezeigt werden, nachdem CV aktiviert oder eine Kubernetes-Ressource bereitgestellt wurde. Darüber hinaus erzeugt CV Logeinträge, wenn ein Richtlinienverstoß erkannt wird. CV erzeugt keine Logeinträge, wenn Kubernetes-Ressourcen der Richtlinie entsprechen.

Der Richtlinienbewertungsdienst gibt ein Ergebnis aus, das angibt, ob das Image der Richtlinie entspricht oder ob es gegen die Richtlinie verstößt.

Mithilfe des Richtlinienbewertungsdiensts können Sie schnell feststellen, ob Ihr Image einer Richtlinie entspricht.

Wenn Sie den Dienst verwenden, geben Sie die Image-URL entweder direkt oder in einer Kubernetes-Ressource und den Namen der prüfbasierten GKE-CV-Richtlinie an.

Auf diese Weise können Sie mit dem Dienst zur Richtlinienbewertung Richtlinien entwickeln und nicht konforme Kubernetes-Ressourcen debuggen, bevor Sie CV verwenden.

Dieses Feature unterstützt nur prüfbasierte GKE CV-Richtlinien.

Images müssen außerdem einen Image-Digest im Format IMAGE_URL@IMAGE_DIGEST angeben, außer in den folgenden Fällen:

Prüfung auf vertrauenswürdige Verzeichnisse: Die Prüfung wird bestanden, wenn sich das Image in einem von Ihnen angegebenen Verzeichnis befindet.
Zulassungslisten für ausgenommene Images: Alle anderen Prüfungen erfordern einen Image-Digest im Format IMAGE_URL@IMAGE_DIGEST.

Hinweise

Installieren Sie die Google Cloud CLI.
Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:
```
gcloud init
```
Hinweis: Sie können die gcloud CLI in der Google Cloud Console ausführen, ohne die Google Cloud CLI zu installieren. Verwenden Sie Cloud Shell, um die gcloud CLI in der Google Cloud Console auszuführen.
Hinweis: Wenn Sie kein Projekt erstellt haben, wird Ihr aktuelles Projekt in der Befehlsausgabe als None angezeigt. Erstellen Sie nach der Authentifizierung ein neues Projekt und legen Sie es dann als Standardprojekt fest. Dazu führen Sie den folgenden Befehl aus:
```
gcloud config set project PROJECT_ID
```
Hinweis: Wenn Sie die gcloud CLI zuvor installiert haben, prüfen Sie, ob Sie die neueste Version haben, indem Sie gcloud components update ausführen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Policy Evaluator (roles/binaryauthorization.policyEvaluator) für das Richtlinienprojekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zur Verwendung des Dienstes zur Richtlinienbewertung benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Wenn Ihre Richtlinie bestimmte Prüfungen verwendet, müssen Sie möglicherweise Ihren Administrator bitten, die folgenden prüfspezifischen erforderlichen Rollen zuzuweisen:

Prüfbasierte Plattformrichtlinien bewerten

Der Richtlinienbewertungsdienst kann eine einzelne Image-URL oder ein Image auswerten, das in einer Kubernetes-Ressource im JSON- oder YAML-Format angegeben ist.

Prüfbasierte Plattformrichtlinien mit einer Kubernetes-Ressource bewerten

Führen Sie den folgenden Befehl aus, um eine Richtlinie mit einer Kubernetes-Ressource über die gcloud CLI zu bewerten:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

POLICY_ID: Die ID der Plattformrichtlinie. Wenn sich die Richtlinie in einem anderen Projekt befindet, können Sie den vollständigen Ressourcennamen verwenden: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
POD_SPECIFICATION_PATH: Der Pfad Ihrer Pod-Spezifikation.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta container binauthz policy evaluate POLICY_ID \
    --resource=POD_SPECIFICATION_PATH

Windows (PowerShell)

gcloud beta container binauthz policy evaluate POLICY_ID `
    --resource=POD_SPECIFICATION_PATH

Windows (cmd.exe)

gcloud beta container binauthz policy evaluate POLICY_ID ^
    --resource=POD_SPECIFICATION_PATH

Führen Sie den folgenden Befehl aus, um eine Richtlinie auszuwerten, die die Plattform angibt. Diese muss auf gke gesetzt sein:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

POLICY_ID: Die ID der Plattformrichtlinie. Wenn sich die Richtlinie in einem anderen Projekt befindet, können Sie den vollständigen Ressourcennamen verwenden: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
POD_SPECIFICATION_PATH: Der Pfad Ihrer Pod-Spezifikation.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta container binauthz policy evaluate POLICY_ID \
    --platform=gke \
    --resource=POD_SPECIFICATION_PATH

Windows (PowerShell)

gcloud beta container binauthz policy evaluate POLICY_ID `
    --platform=gke `
    --resource=POD_SPECIFICATION_PATH

Windows (cmd.exe)

gcloud beta container binauthz policy evaluate POLICY_ID ^
    --platform=gke ^
    --resource=POD_SPECIFICATION_PATH

Prüfbasierte Plattformrichtlinien mit einer Image-URL bewerten

Führen Sie den folgenden Befehl aus, um eine Richtlinie mit einer Image-URL auszuwerten:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

POLICY_ID: Die ID der Plattformrichtlinie. Wenn sich die Richtlinie in einem anderen Projekt befindet, können Sie den vollständigen Ressourcennamen verwenden: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
IMAGE_URL: Der Pfad Ihrer Pod-Spezifikation.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta container binauthz policy evaluate POLICY_ID \
    --image=IMAGE_URL

Windows (PowerShell)

gcloud beta container binauthz policy evaluate POLICY_ID `
    --image=IMAGE_URL

Windows (cmd.exe)

gcloud beta container binauthz policy evaluate POLICY_ID ^
    --image=IMAGE_URL

Wenn Sie das Flag --image verwenden, wird davon ausgegangen, dass der Namespace und das Dienstkonto leer sind. Wenn die von Ihnen ausgewertete Richtlinie Prüfsätze in den Bereichen kubernetesNamespace oder kubernetesServiceAccount verwendet, sind die zurückgegebenen Ergebnisse möglicherweise nicht korrekt.

Befehlsausgabe überprüfen

Die Befehlsausgabe enthält ein Ergebnis auf oberster Ebene, das den Konformitätsstatus des Pods angibt. Die folgenden Konformitätsstatus können zurückgegeben werden:

CONFORMANT: Die Kubernetes-Ressource entspricht der Plattformrichtlinie.
NON_CONFORMANT: Die Kubernetes-Ressource entspricht nicht der Plattformrichtlinie.
ERROR: Die Bewertung wurde zu einem Fehler beendet.

Die Antwort enthält auch verschachtelte Ergebnisse mit detaillierten Informationen zum Konformitätsstatus aller Prüfungen, die für jedes in der Kubernetes-Ressource enthaltene Image ausgewertet wurden.

Jeder ImageResults-Block enthält ein für Menschen lesbares explanation-Feld, das beschreibt, warum das Image zugelassen oder nicht zugelassen ist.

Zur Vereinfachung der Skripterstellung gibt der Befehl einen Exit-Code ungleich null zurück, wenn die Pod-Spezifikation nicht der Richtlinie entspricht oder die Bewertung fehlschlägt.

Die folgenden Ausgabebeispiele zeigen zwei Fälle. Im ersten Fall entspricht die Kubernetes-Ressource der Richtlinie. Im zweiten Fall entspricht die Ressource nicht der Richtlinie.

Konformes Ergebnis ansehen

In diesem Abschnitt wird die Ausgabe einer Richtlinienbewertungsdienstprüfung beschrieben, bei der der Pod der Plattformrichtlinie entspricht.

results:
- imageResults:
  - checkSetResult:
      checkResults:
        results:
        - displayName: My trusted directory check
          evaluationResult:
            verdict: CONFORMANT
          explanation: Image is in a trusted directory
          type: TrustedDirectoryCheck
      displayName: Default check set
      scope: {}
    imageUri: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
    verdict: CONFORMANT
  kubernetesNamespace: default
  kubernetesServiceAccount: default
  podName: my-pod
  verdict: CONFORMANT
verdict: CONFORMANT

In der Ausgabe wird für die folgenden Bewertungstypen das Ergebnis CONFORMANT zurückgegeben:

Prüfung: Das Image ist mit der einzelnen Prüfung kompatibel, in diesem Fall der Prüfung des vertrauenswürdigen Verzeichnisses.
CheckSet: Das Image ist mit allen Prüfungen im CheckSet konform.
Richtlinie: Das Image entspricht der Richtlinie.

Da das Image der Richtlinie entspricht, gibt der Befehl den Exit-Code null zurück.

Nicht konformes Ergebnis ansehen

In diesem Abschnitt wird die Ausgabe einer Richtlinienbewertungsdienstprüfung beschrieben, bei der der Pod nicht der Plattformrichtlinie entspricht.

results:
- imageResults:
  - checkSetResult:
      checkResults:
        results:
        - displayName: My trusted directory check
          evaluationResult:
            verdict: NON_CONFORMANT
          explanation: Image isn't in a trusted directory
          type: TrustedDirectoryCheck
      displayName: Default check set
      scope: {}
    imageUri: us-docker.pkg.dev/untrusted-directory/containers/gke/hello-app:1.0
    verdict: NON_CONFORMANT
  kubernetesNamespace: default
  kubernetesServiceAccount: default
  podName: my-pod
  verdict: NON_CONFORMANT
verdict: NON_CONFORMANT

Da das Image in der Ausgabe nicht die individuelle Prüfung besteht, in diesem Fall die Prüfung auf vertrauenswürdige Verzeichnisse und damit den Satz aller Prüfungen, lautet das Ergebnis der obersten Ebene NON_CONFORMANT. Der Befehl gibt daher einen Exit-Code ungleich null zurück.

Richtlinienbewertungsdienst testen

In diesem Abschnitt wird beschrieben, wie Sie den Dienst zur Richtlinienbewertung testen können. Sie erstellen eine prüfbasierte Plattformrichtlinie, die die Prüfung auf vertrauenswürdige Verzeichnisse enthält. Im ersten Test können Sie dann eine Pod-Spezifikation auswerten, die der Richtlinie entspricht. Im zweiten Test werten Sie eine Pod-Spezifikation aus, die nicht der Richtlinie entspricht.

Führen Sie die folgenden Befehle aus, um eine Richtlinie zu erstellen, die eine Prüfung auf vertrauenswürdige Verzeichnisse enthält:

Erstellen Sie eine Plattformrichtliniendatei:

cat << EOF > my-policy.yaml
gkePolicy:
  checkSets:
  - checks:
    - displayName: "My trusted directory check"
      trustedDirectoryCheck:
        trustedDirPatterns:
        - "us-docker.pkg.dev/google-samples/containers/gke/"
    displayName: "My default check set"
EOF

Erstellen Sie die Richtlinie:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- POLICY_ID: Eine Plattformrichtlinien-ID Ihrer Wahl. Wenn sich die Richtlinie in einem anderen Projekt befindet, können Sie den vollständigen Ressourcennamen verwenden: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
- POLICY_PATH: Ein Pfad zur Richtliniendatei.
- POLICY_PROJECT_ID: Die ID des Richtlinienprojekts.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container binauthz policy create POLICY_ID \
    --platform=gke \
    --policy-file=POLICY_PATH \
    --project=POLICY_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container binauthz policy create POLICY_ID `
    --platform=gke `
    --policy-file=POLICY_PATH `
    --project=POLICY_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container binauthz policy create POLICY_ID ^
    --platform=gke ^
    --policy-file=POLICY_PATH ^
    --project=POLICY_PROJECT_ID
```
```
gcloud beta container binauthz policy create POLICY_ID \
--platform=gke \
--policy-file=my-policy.yaml
```

Konformes Image bewerten

In diesem Abschnitt bewerten Sie eine Pod-Spezifikation, die der Richtlinie entspricht, die Sie zuvor in dieser Anleitung erstellt haben. Die Bewertung gibt ein Ergebnis zurück, das angibt, dass die Pod-Spezifikation CONFORMANT ist, da die Pod-Spezifikation auf ein Image verweist, das sich in dem Verzeichnis befindet, das in trustedDirPatterns in der Prüfung auf vertrauenswürdige Verzeichnisse angegeben ist. “

Erstellen Sie die Pod-Spezifikation:

cat << EOF > my-conforming-pod.json
{
  "apiVersion": "v1",
  "kind": "Pod",
  "metadata": {
    "name": ""
  },
  "spec": {
    "containers": [
      {
        "image": "us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0"
      }
      ]
  }
}
EOF

Verwenden Sie den Dienst für die Richtlinienbewertung mit dem folgenden Befehl:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- POLICY_ID: Die ID der Plattformrichtlinie. Wenn sich die Richtlinie in einem anderen Projekt befindet, können Sie den vollständigen Ressourcennamen verwenden: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
- my-conforming-pod.json: Der Pfad Ihrer Pod-Spezifikation.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container binauthz policy evaluate POLICY_ID \
    --image=my-conforming-pod.json
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container binauthz policy evaluate POLICY_ID `
    --image=my-conforming-pod.json
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container binauthz policy evaluate POLICY_ID ^
    --image=my-conforming-pod.json
```

Nicht konformes Image bewerten

In diesem Abschnitt bewerten Sie eine Pod-Spezifikation, die nicht der Richtlinie entspricht, die Sie zuvor in dieser Anleitung erstellt haben. Die Bewertung erzeugt ein Ergebnis, das angibt, dass die Pod-Spezifikation NON_CONFORMANT ist, da die Pod-Spezifikation auf ein Image verweist, das sich außerhalb des Verzeichnisses befindet, das in trustedDirPatterns in der Prüfung auf vertrauenswürdige Verzeichnisse angegeben ist.

Führen Sie die folgenden Befehle aus, um ein nicht konformes Image zu bewerten:

Erstellen Sie die Pod-Spezifikation:

cat << EOF > my-non-conforming-pod.json
{
  "apiVersion": "v1",
  "kind": "Pod",
  "metadata": {
    "name": ""
  },
  "spec": {
    "containers": [
      {
        "image": "us-docker.pkg.dev/untrusted-directory/containers/gke/hello-app:1.0"
      }
    ]
  }
}
EOF

Verwenden Sie den Dienst für die Richtlinienbewertung mit dem folgenden Befehl:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- POLICY_ID: Die ID der Plattformrichtlinie. Wenn sich die Richtlinie in einem anderen Projekt befindet, können Sie den vollständigen Ressourcennamen verwenden: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
- my-non-conforming-pod.json: Der Pfad Ihrer Pod-Spezifikation.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container binauthz policy evaluate POLICY_ID \
    --image=my-non-conforming-pod.json
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container binauthz policy evaluate POLICY_ID `
    --image=my-non-conforming-pod.json
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container binauthz policy evaluate POLICY_ID ^
    --image=my-non-conforming-pod.json
```

Nächste Schritte

Weitere Informationen zu CV