Utilizzare il servizio di valutazione dei criteri

Questa pagina mostra come utilizzare il comando Google Cloud CLI per il servizio di valutazione delle norme per valutare rapidamente se un'immagine o una risorsa Kubernetes è conforme a un criterio della piattaforma basato su controlli di convalida continua.

Panoramica

Il servizio di valutazione dei criteri è una funzionalità di Autorizzazione binaria che puoi utilizzare con i criteri della piattaforma basati su controlli di convalida continua (CV). Il servizio di valutazione dei criteri valuta richiede se un'immagine container specificata è conforme a Criteri della piattaforma CV. Il servizio di valutazione dei criteri è disponibile come comando dell'interfaccia a riga di comando gcloud e come metodo projects.platforms.gke.policies.evaluate.

CV controlla la presenza di violazioni delle norme almeno una volta ogni 24 ore. Di conseguenza, la visualizzazione degli eventi CV può richiedere fino a 24 ore. in Logging dopo l'abilitazione di CV o un cluster Kubernetes del deployment della risorsa. Inoltre, CV produce voci di log quando rileva una violazione delle norme. CV non genera voci di log quando le risorse Kubernetes sono conformi al criterio.

Il servizio di valutazione dei criteri restituisce un esito che indica se le l'immagine sia conforme o meno alle norme.

Utilizzando il servizio di valutazione delle norme, puoi determinare rapidamente se la tua immagine è conforme a una norma.

Quando utilizzi il servizio, specifichi l'URL dell'immagine direttamente o all'interno di una risorsa Kubernetes e devi specificare anche il nome di GKE criterio basato su controllo CV.

In questo modo, il servizio di valutazione dei criteri può aiutarti a sviluppare ed eseguire il debug delle risorse Kubernetes non conformi prima di CV.

Questa funzionalità supporta solo i controlli CV di GKE basati sul controllo criteri.

Le immagini devono anche specificare un digest dell'immagine nel formato IMAGE_URL@IMAGE_DIGEST, tranne nei seguenti casi:

• Controllo della directory attendibile: il controllo è positivo se l'immagine si trova in una della directory da te specificata.
• Liste consentite di immagini esenti: tutti gli altri controlli richiedono un digest dell'immagine nel modulo IMAGE_URL@IMAGE_DIGEST.

Prima di iniziare

1. Install the Google Cloud CLI.

2. To initialize the gcloud CLI, run the following command:

   gcloud init

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare il servizio di valutazione dei criteri, chiedi all'amministratore di concederti Ruolo IAM di Policy Valutatore (roles/binaryauthorization.policyEvaluator) nel progetto dei criteri. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Se i tuoi criteri utilizzano determinati controlli, potrebbe essere necessario chiedere all'amministratore di assegna i seguenti ruoli obbligatori specifici per il controllo:

• Ruoli richiesti per il controllo di attestazione della firma semplice
• Ruoli richiesti per il controllo delle vulnerabilità
• Ruoli richiesti per il controllo dell'aggiornamento

Valuta i criteri della piattaforma basati su controlli

Il servizio di valutazione dei criteri può valutare un singolo URL o una singola immagine specificato in una risorsa Kubernetes in formato JSON o YAML.

Valutare i criteri della piattaforma basati su controlli con una risorsa Kubernetes

Per valutare un criterio con una risorsa Kubernetes utilizzando gcloud CLI, esegui questo comando:

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

• POLICY_ID: l'ID del criterio della piattaforma. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POD_SPECIFICATION_PATH: il percorso della specifica del pod.

Esegui il seguente comando:

gcloud beta container binauthz policy evaluate POLICY_ID \
    --resource=POD_SPECIFICATION_PATH

gcloud beta container binauthz policy evaluate POLICY_ID `
    --resource=POD_SPECIFICATION_PATH

gcloud beta container binauthz policy evaluate POLICY_ID ^
    --resource=POD_SPECIFICATION_PATH

Per valutare un criterio che specifica la piattaforma, che deve essere impostata su gke, esegui questo comando:

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

• POLICY_ID: l'ID del criterio della piattaforma. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POD_SPECIFICATION_PATH: il percorso della specifica del pod.

Esegui il seguente comando:

gcloud beta container binauthz policy evaluate POLICY_ID \
    --platform=gke \
    --resource=POD_SPECIFICATION_PATH

gcloud beta container binauthz policy evaluate POLICY_ID `
    --platform=gke `
    --resource=POD_SPECIFICATION_PATH

gcloud beta container binauthz policy evaluate POLICY_ID ^
    --platform=gke ^
    --resource=POD_SPECIFICATION_PATH

Valutare i criteri della piattaforma basati su controlli con un URL immagine

Per valutare un criterio utilizzando l'URL di un'immagine, esegui il seguente comando:

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

• POLICY_ID: l'ID del criterio della piattaforma. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• IMAGE_URL: il percorso della specifica del pod.

Esegui il seguente comando:

gcloud beta container binauthz policy evaluate POLICY_ID \
    --image=IMAGE_URL

gcloud beta container binauthz policy evaluate POLICY_ID `
    --image=IMAGE_URL

gcloud beta container binauthz policy evaluate POLICY_ID ^
    --image=IMAGE_URL

Quando utilizzi il flag --image, si presume implicitamente che lo spazio dei nomi e l'account di servizio siano vuoti. Se il criterio che stai valutando utilizza scacchi con ambito kubernetesNamespace o kubernetesServiceAccount, i risultati restituiti potrebbero non essere precisi.

Rivedi output comando

L'output del comando contiene un verdetto di primo livello che indica lo stato di conformità del pod. È possibile restituire i seguenti stati di conformità:

• CONFORMANT: la risorsa Kubernetes è conforme ai criteri relativi alla piattaforma.
• NON_CONFORMANT: la risorsa Kubernetes non è conforme alla piattaforma .
• ERROR: la valutazione è terminata con un errore.

La risposta contiene anche risultati nidificati contenenti informazioni dettagliate sullo stato di conformità di tutti i controlli valutati per ogni immagine contenuta nella risorsa Kubernetes.

Ogni blocco ImageResults contiene un campo explanation leggibile da una persona che descrive il motivo per cui l'immagine è consentita o non consentita.

Per semplificare la creazione di script, il comando restituisce un codice di uscita diverso da zero quando la specifica del pod non è conforme alle norme o la valutazione non va a buon fine.

Gli esempi di output riportati di seguito mostrano due casi. Nel primo caso, La risorsa Kubernetes è conforme al criterio. Nel secondo caso, la risorsa non è conforme alle norme.

Visualizza un risultato conforme

Questa sezione descrive l'output di un controllo del servizio di valutazione dei criteri in cui il pod è conforme ai criteri della piattaforma.

results:
- imageResults:
  - checkSetResult:
      checkResults:
        results:
        - displayName: My trusted directory check
          evaluationResult:
            verdict: CONFORMANT
          explanation: Image is in a trusted directory
          type: TrustedDirectoryCheck
      displayName: Default check set
      scope: {}
    imageUri: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
    verdict: CONFORMANT
  kubernetesNamespace: default
  kubernetesServiceAccount: default
  podName: my-pod
  verdict: CONFORMANT
verdict: CONFORMANT

Nell'output, viene restituito un esito CONFORMANT per i seguenti tipi di valutazione:

• Controllo: l'immagine è conforme al singolo controllo, in questo caso la il controllo della directory attendibile.
• CheckSet: l'immagine è conforme a ciascuno dei controlli nel CheckSet.
• Norme: l'immagine è conforme alle norme.

Poiché l'immagine è conforme alle norme, il comando restituisce un codice di uscita pari a zero.

Visualizzare un risultato non conforme

Questa sezione descrive l'output di un controllo del servizio di valutazione dei criteri in cui il pod non è conforme ai criteri della piattaforma.

results:
- imageResults:
  - checkSetResult:
      checkResults:
        results:
        - displayName: My trusted directory check
          evaluationResult:
            verdict: NON_CONFORMANT
          explanation: Image isn't in a trusted directory
          type: TrustedDirectoryCheck
      displayName: Default check set
      scope: {}
    imageUri: us-docker.pkg.dev/untrusted-directory/containers/gke/hello-app:1.0
    verdict: NON_CONFORMANT
  kubernetesNamespace: default
  kubernetesServiceAccount: default
  podName: my-pod
  verdict: NON_CONFORMANT
verdict: NON_CONFORMANT

Nell'output, poiché l'immagine non è conforme al singolo controllo, in in questo caso il controllo della directory attendibile, e quindi l'insieme di tutti i controlli, l'esito di primo livello è NON_CONFORMANT e il comando restituisce un'uscita diversa da zero le API nel tuo codice.

testa il servizio di valutazione dei criteri

Questa sezione descrive come puoi testare il servizio di valutazione delle norme. Tu Creare un criterio della piattaforma basato su controlli che contiene il controllo della directory attendibile. Nel primo test, puoi valutare una specifica del pod conforme alle norme. Nel secondo test, valuti una specifica del pod che non è conforme al criterio.

Per creare un criterio che contenga un controllo della directory attendibile, esegui i seguenti comandi:

1. Crea un file dei criteri della piattaforma:

   cat << EOF > my-policy.yaml
   gkePolicy:
     checkSets:
     - checks:
       - displayName: "My trusted directory check"
         trustedDirectoryCheck:
           trustedDirPatterns:
           - "us-docker.pkg.dev/google-samples/containers/gke/"
       displayName: "My default check set"
   EOF
   

2. Crea il criterio:

   Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

   • POLICY_ID: un ID criterio della piattaforma scelto da te. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
   • POLICY_PATH: un percorso al file delle norme.
   • POLICY_PROJECT_ID: l'ID del progetto di norme.

   Esegui la persone che seguo :

   Linux, macOS o Cloud Shell

   gcloud beta container binauthz policy create POLICY_ID \
       --platform=gke \
       --policy-file=POLICY_PATH \
       --project=POLICY_PROJECT_ID

   Windows (PowerShell)

   gcloud beta container binauthz policy create POLICY_ID `
       --platform=gke `
       --policy-file=POLICY_PATH `
       --project=POLICY_PROJECT_ID

   Windows (cmd.exe)

   gcloud beta container binauthz policy create POLICY_ID ^
       --platform=gke ^
       --policy-file=POLICY_PATH ^
       --project=POLICY_PROJECT_ID

   gcloud beta container binauthz policy create POLICY_ID \
   --platform=gke \
   --policy-file=my-policy.yaml
   

Valuta un'immagine conforme

In questa sezione, valuti una specifica del pod conforme al criterio creato in precedenza in questa guida. La valutazione produce un verdetto che indica che la specifica del pod è CONFORMANT, perché fa riferimento a un'immagine che si trova nella directory specificata in trustedDirPatterns nel controllo della directory attendibile.

1. Crea la specifica del pod:

   cat << EOF > my-conforming-pod.json
   {
     "apiVersion": "v1",
     "kind": "Pod",
     "metadata": {
       "name": ""
     },
     "spec": {
       "containers": [
         {
           "image": "us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0"
         }
         ]
     }
   }
   EOF
   

2. Utilizza il servizio di valutazione dei criteri eseguendo il seguente comando:

   Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

   • POLICY_ID: l'ID del criterio della piattaforma. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
   • my-conforming-pod.json: il percorso della specifica del pod.

   Esegui la persone che seguo :

   Linux, macOS o Cloud Shell

   gcloud beta container binauthz policy evaluate POLICY_ID \
       --image=my-conforming-pod.json

   Windows (PowerShell)

   gcloud beta container binauthz policy evaluate POLICY_ID `
       --image=my-conforming-pod.json

   Windows (cmd.exe)

   gcloud beta container binauthz policy evaluate POLICY_ID ^
       --image=my-conforming-pod.json

Valuta un'immagine non conforme

In questa sezione valuterai le specifiche di un pod non conformi alle creato in precedenza in questa guida. La valutazione produce un verdetto che indica che la specifica del pod è NON_CONFORMANT, perché fa riferimento a un'immagine che si trova al di fuori della directory specificata in trustedDirPatterns nel controllo della directory attendibile.

Per valutare un'immagine non conforme, esegui i seguenti comandi:

1. Crea la specifica del pod:

   cat << EOF > my-non-conforming-pod.json
   {
     "apiVersion": "v1",
     "kind": "Pod",
     "metadata": {
       "name": ""
     },
     "spec": {
       "containers": [
         {
           "image": "us-docker.pkg.dev/untrusted-directory/containers/gke/hello-app:1.0"
         }
       ]
     }
   }
   EOF
   

2. Utilizza il servizio di valutazione dei criteri eseguendo il seguente comando:

   Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

   • POLICY_ID: l'ID del criterio della piattaforma. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
   • my-non-conforming-pod.json: il percorso della specifica del pod.

   Esegui il seguente comando:

   Linux, macOS o Cloud Shell

   gcloud beta container binauthz policy evaluate POLICY_ID \
       --image=my-non-conforming-pod.json

   Windows (PowerShell)

   gcloud beta container binauthz policy evaluate POLICY_ID `
       --image=my-non-conforming-pod.json

   Windows (cmd.exe)

   gcloud beta container binauthz policy evaluate POLICY_ID ^
       --image=my-non-conforming-pod.json

Passaggi successivi

• Scopri di più su CV