Menggunakan breakglass (GKE, Distributed Cloud)

Halaman ini memberikan petunjuk tentang cara menggunakan breakglass dengan Otorisasi Biner.

Sebelum memulai

Panduan ini mengasumsikan bahwa Anda telah menyiapkan Otorisasi Biner.

Ringkasan

Anda menggunakan breakglass untuk men-deploy image container yang diblokir oleh Otorisasi Biner.

Akses darurat menyediakan pintu keluar darurat yang memungkinkan Anda mengganti penerapan kebijakan Otorisasi Biner untuk mengizinkan deployment image, bahkan yang tidak diizinkan oleh kebijakan.

Fitur ini diterapkan sesuai dengan rekomendasi dalam spesifikasi pengontrol akses Kubernetes.

Saat Anda menggunakan breakglass untuk men-deploy image, peristiwa breakglass akan otomatis dicatat ke Cloud Audit Logs, terlepas dari apakah deployment memenuhi atau melanggar kebijakan. Di Cloud Audit Logs, Anda dapat mengaudit secara manual atau memicu pemberitahuan atau peristiwa downstream lainnya secara otomatis.

Untuk mengaktifkan breakglass, Anda menambahkan kolom label ke spesifikasi Pod dengan tanda kebijakan break-glass.

Mendemonstrasikan peristiwa breakglass

Bagian ini menunjukkan cara menggunakan breakglass untuk men-deploy image, termasuk yang melanggar kebijakan Otorisasi Biner.

Memperbarui kebijakan Otorisasi Biner untuk menolak semua permintaan deployment

Untuk memperbarui kebijakan agar tidak mengizinkan semua image di-deploy, lakukan langkah-langkah berikut:

Konsol Google Cloud

  1. Buka halaman Otorisasi Biner di konsol Google Cloud.

    Buka Otorisasi Biner

  2. Klik Edit policy.

  3. Di halaman Edit policy, di Project default rule, catat mode evaluasi awal, lalu klik Disallow all images.

  4. Klik Save policy.

gcloud

  1. Untuk menyimpan kebijakan yang ada dalam project saat ini, jalankan perintah berikut:

    gcloud container binauthz policy export > SAVE_POLICY_YAML
    

    Ganti SAVE_POLICY_YAML dengan jalur file ekspor—misalnya, /tmp/save_policy.yaml.

  2. Buat file kebijakan:

    cat > TEST_POLICY_YAML << EOM
    admissionWhitelistPatterns:
    defaultAdmissionRule:
      enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
      evaluationMode: ALWAYS_DENY
    globalPolicyEvaluationMode: DISABLE
    EOM
    

    Ganti TEST_POLICY_YAML dengan jalur file—misalnya, /tmp/policy.yaml.

  3. Impor kebijakan:

    gcloud container binauthz policy import TEST_POLICY_YAML
    

    Ganti TEST_POLICY_YAML dengan jalur file—misalnya, /tmp/policy.yaml.

Secara default, semua gambar kini diblokir agar tidak di-deploy.

Mencoba men-deploy image

Di bagian ini, Anda akan mencoba men-deploy image. Aturan default kebijakan dikonfigurasi untuk tidak mengizinkan semua image di-deploy, sehingga permintaan deployment gagal.

  1. Buat file konfigurasi dalam format YAML. File ini berisi informasi dasar yang diperlukan untuk membuat pod:

    cat > /tmp/create_pod.yaml << EOM
    apiVersion: v1
    kind: Pod
    metadata:
      name: breakglass-pod
    spec:
      containers:
      - name: container-name
        image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4
    EOM
    
  2. Buat Pod menggunakan kubectl:

    kubectl create -f /tmp/create_pod.yaml
    

    Anda melihat error yang menunjukkan bahwa gambar diblokir oleh kebijakan Anda. Errornya akan terlihat seperti berikut:

    Error from server (Forbidden): error when creating "/tmp/create_pod.yaml": pods "breakglass-pod" is forbidden: image policy webhook backend denied one or more images: Image gcr.io/google-samples/hello-app denied by Binary Authorization default
    admission rule. Denied by always_deny admission rule`.

Mengaktifkan breakglass dan men-deploy lagi

Di bagian ini, Anda akan mengaktifkan breakglass. Meskipun breakglass khusus untuk Otorisasi Biner, Anda harus memperbarui kolom label pada spesifikasi Pod untuk mengaktifkannya.

Untuk mengaktifkan breakglass, jalankan perintah berikut:

  1. Buat file konfigurasi dalam format YAML.

    Perintah berikut akan membuat file yang berisi label break-glass dan informasi lain yang diperlukan untuk membuat pod:

    cat > /tmp/create_pod.yaml << EOM
    apiVersion: v1
    kind: Pod
    metadata:
      name: pod-name
      labels:
        image-policy.k8s.io/break-glass: "true"
    spec:
      containers:
      - name: container-name
        image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4
    EOM
    
  2. Buat pod menggunakan kubectl:

    kubectl create -f /tmp/create_pod.yaml
    

    Perhatikan output: pod/pod-name created

Menemukan entri log akses darurat di Cloud Audit Logs

Lihat peristiwa akses darurat di Cloud Audit Logs.

PodSpecs lama yang menentukan annotations: alpha.image-policy.k8s.io/break-glass juga memicu breakglass dan menghasilkan entri log. Penggunaan anotasi tersebut tidak lagi direkomendasikan, tetapi masih didukung untuk mempertahankan kompatibilitas mundur.

Pembersihan

Untuk menghapus Pod dan menonaktifkan breakglass, lakukan hal berikut:

  1. Hapus Pod:

      kubectl delete -f /tmp/create_pod.yaml
      

    Pastikan Anda menerima output seperti pod <var>pod-name</var> deleted.

  2. Hapus blok label dari spesifikasi Pod Anda.

  3. Reset kebijakan Anda:

    Konsol Google Cloud

    1. Buka halaman Otorisasi Biner di konsol Google Cloud.

      Buka Otorisasi Biner

    2. Klik Edit policy.

    3. Di halaman Edit policy, di Project default rule, reset mode evaluasi ke setelan sebelumnya.

    4. Klik Save policy.

    gcloud

    1. Impor ulang kebijakan asli Anda.

        gcloud container binauthz policy import SAVE_POLICY_YAML
      

      Ganti SAVE_POLICY_YAML dengan jalur ke file yang Anda buat sebelumnya dalam panduan ini.

    Kebijakan Anda direset.

Langkah selanjutnya