Utilizzo di deployment di emergenza (GKE, cluster GKE)

Questa pagina fornisce istruzioni sull'utilizzo di deployment di emergenza con Autorizzazione binaria.

Prima di iniziare

Questa guida presuppone che tu abbia configurato Autorizzazione binaria.

Panoramica

Puoi utilizzare il deployment di emergenza per eseguire il deployment di un'immagine container che Autorizzazione binaria blocca.

Il deployment di emergenza fornisce un'uscita di emergenza che consente di eseguire l'override dell'applicazione del criterio di Autorizzazione binaria per consentire il deployment delle immagini, anche quelle non consentite dal criterio.

Questa funzionalità è implementata in modo coerente con i suggerimenti della specifica del controller di ammissione Kubernetes.

Quando utilizzi il deployment di emergenza per eseguire il deployment di un'immagine, un evento di deployment di emergenza viene automaticamente registrato in Cloud Audit Logs, indipendentemente dal fatto che il deployment soddisfi o violi il criterio. In Cloud Audit Logs puoi controllare manualmente o attivare automaticamente un avviso o un altro evento downstream.

Per abilitare il deployment di emergenza, aggiungi un campo label alla specifica del pod con un flag del criterio break-glass.

Dimostrare un evento di emergenza

Questa sezione mostra come utilizzare il deployment di emergenza per eseguire il deployment delle immagini, incluse quelle che violano il criterio di Autorizzazione binaria.

Aggiorna il criterio di Autorizzazione binaria per rifiutare tutte le richieste di deployment

Per aggiornare il criterio in modo da non consentire il deployment di tutte le immagini, segui questi passaggi:

Per impostazione predefinita, il deployment di tutte le immagini è ora bloccato.

Tentativo di eseguire il deployment di un'immagine

In questa sezione proverai a eseguire il deployment di un'immagine. La regola predefinita del criterio è configurata in modo da non consentire il deployment di tutte le immagini, quindi la richiesta di deployment non va a buon fine.

1. Creare un file di configurazione in formato YAML. Questo file contiene le informazioni di base necessarie per creare il pod:

   cat > /tmp/create_pod.yaml << EOM
   apiVersion: v1
   kind: Pod
   metadata:
     name: breakglass-pod
   spec:
     containers:
     - name: container-name
       image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4
   EOM
   

2. Crea il pod utilizzando kubectl:

   kubectl create -f /tmp/create_pod.yaml
   

   Visualizzi un errore che indica che l'immagine è stata bloccata in base alle norme in vigore. L'errore è simile al seguente:

   Error from server (Forbidden): error when creating "/tmp/create_pod.yaml": pods "breakglass-pod" is forbidden: image policy webhook backend denied one or more images: Image gcr.io/google-samples/hello-app denied by Binary Authorization default
   admission rule. Denied by always_deny admission rule`.

Abilita deployment di emergenza ed esegui di nuovo il deployment

In questa sezione abiliti il deployment di emergenza. Sebbene il deployment di emergenza sia specifico per Autorizzazione binaria, devi aggiornare il campo label nella specifica del pod per abilitarlo.

Per abilitare i deployment di emergenza, esegui questi comandi:

1. Creare un file di configurazione in formato YAML.

   Il seguente comando crea il file contenente l'etichetta break-glass e altre informazioni necessarie per creare il pod:

   cat > /tmp/create_pod.yaml << EOM
   apiVersion: v1
   kind: Pod
   metadata:
     name: pod-name
     labels:
       image-policy.k8s.io/break-glass: "true"
   spec:
     containers:
     - name: container-name
       image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4
   EOM
   

   Per tutte le versioni precedenti del master di Kubernetes, puoi abilitare il deployment di emergenza aggiungendo alpha.image-policy.k8s.io/break-glass al nodo annotations, come segue:

   cat > /tmp/create_pod.yaml << EOM
   apiVersion: v1
   kind: Pod
   metadata:
     name: pod-name
     annotations:
        alpha.image-policy.k8s.io/break-glass: "true"
   spec:
     containers:
     - name: container-name
       image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4
   EOM
   

2. Crea il pod utilizzando kubectl:

   kubectl create -f /tmp/create_pod.yaml
   

   Prendi nota dell'output: pod/pod-name created

Trovare la voce di log di deployment di emergenza in Cloud Audit Logs

Visualizza gli eventi per deployment di emergenza in Audit log di Cloud.

Esegui la pulizia

Per eliminare il pod e disabilitare il deployment di emergenza:

1. Elimina il pod:

     kubectl delete -f /tmp/create_pod.yaml
     

   Verifica di aver ricevuto un output simile a pod <var>pod-name</var> deleted.

2. Rimuovi il blocco label o annotations dalla specifica del pod.

3. Reimposta il criterio:

   Console Google Cloud

   1. Vai alla pagina Autorizzazione binaria nella console Google Cloud.

      Vai ad Autorizzazione binaria

   2. Fai clic su Modifica criterio.

   3. Nella pagina Modifica criterio, in Regola predefinita del progetto, reimposta la modalità di valutazione all'impostazione precedente.

   4. Fai clic su Salva criterio.

   gcloud

   1. Reimporta la norma originale.

        gcloud container binauthz policy import SAVE_POLICY_YAML
      

      Sostituisci SAVE_POLICY_YAML con il percorso del file creato in precedenza in questa guida.

   Il criterio è stato reimpostato.

Passaggi successivi

• Visualizza gli eventi per deployment di emergenza in Audit log di Cloud.