Esta página está dirigida a usuarios de la validación continua heredada (CV heredada) (obsoleta).
La validación continua heredada es una función de la autorización binaria que verifica periódicamente imágenes de contenedor asociadas con Pods en ejecución para el cumplimiento continuo de la política de singleton de tu proyecto de Autorización Binaria. La CV heredada registra los resultados en Cloud Logging.
La CV heredada no finaliza los Pods en ejecución.
Limitaciones
El CV heredado tiene las siguientes limitaciones:
- La CV heredada solo es compatible con los Pods implementados en Google Kubernetes Engine (GKE).
- La CV heredada no admite políticas de Autorización Binaria que especifiquen reglas específicas para identidades de servicio de Cloud Service Mesh, cuentas de servicio de Kubernetes o espacios de nombres de Kubernetes.
Antes de comenzar
Asegúrate de tener configurada la Autorización Binaria para Google Kubernetes Engine en un proyecto. Con la CV heredada, se registran los eventos de cumplimiento de la política de los Pods en todos los clústeres del proyecto.
Asegúrate de que gcloud CLI esté actualizada a la versión más reciente.
Permisos necesarios
Las funciones de Identity and Access Management (IAM) incluyen permisos y se pueden asignar a usuarios, grupos y cuentas de servicio. Las siguientes funciones incluyen los permisos enumerados para CV:
Nombre del rol | Permisos de CV heredada | Descripción |
---|---|---|
roles/binaryauthorization.policyEditor |
binaryauthorization.continuousValidationConfig.update |
Inhabilita y habilita la CV. |
Para configurar los permisos de IAM necesarios, ejecuta los siguientes comandos:
PROJECT_NUMBER=$(gcloud projects list \
--filter="projectId:ATTESTATION_PROJECT_ID" \
--format="value(PROJECT_NUMBER)")
SERVICE_ACCOUNT="service-$PROJECT_NUMBER@gcp-sa-binaryauthorization.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding ATTESTATION_PROJECT_ID \
--member="serviceAccount:$SERVICE_ACCOUNT" \
--role='roles/containeranalysis.occurrences.viewer'
Habilita la CV heredada
Console
Para habilitar el CV heredado con la consola de Google Cloud, sigue estos pasos: lo siguiente:
En la consola de Google Cloud, ve a la página Política de Autorización binaria.
Haz clic en la pestaña Política.
Haz clic en Editar política.
Expande la sección Configuración adicional para implementaciones de GKE y Anthos.
Selecciona la casilla de verificación Habilitar la validación continua.
Haga clic en Save Policy.
API de REST
Para habilitar la CV heredada con la API de REST, haz lo siguiente:
Almacena el ID del proyecto:
DEPLOYER_PROJECT_ID=DEPLOYER_PROJECT_ID
Reemplaza
DEPLOYER_PROJECT_ID
por el ID del proyecto en el que ejecutas GKE.Obtén el token de OAuth para Google Cloud.
BEARER_TOKEN=$(gcloud auth print-access-token)
El token solo es válido durante un período breve.
Habilita la CV heredada:
curl "https://binaryauthorization.googleapis.com/v1alpha2/projects/${DEPLOYER_PROJECT_ID}/continuousValidationConfig" -X PUT -H "authorization: Bearer $BEARER_TOKEN" -H "Content-Type: application/json" --data '{"enforcementPolicyConfig": {"enabled": "true"}}'
La CV heredada ahora está configurada para registrar eventos.
La entrada de registro de Logging es similar al siguiente ejemplo:
{
"insertId": "6054e143-0000-2562-aa64-883d24f57e70",
"jsonPayload": {
"@type": "type.googleapis.com/google.cloud.binaryauthorization.v1beta1.ContinuousValidationEvent",
"podEvent": {
"images": [
{
"description": "Image <var>IMAGE_NAME@IMAGE_DIGEST</var> denied by
attestor projects/<var>ATTESTOR_PROJECT_ID</var>/attestors/<var>ATTESTOR_NAME</var>:
No attestations found that were valid and signed by a key trusted by
the attestor",
"image": "<var>IMAGE_NAME@IMAGE_DIGEST</var>",
"result": "DENY"
}
],
"verdict": "VIOLATES_POLICY",
"deployTime": "2021-03-19T17:00:08Z",
"pod": "<var>POD_NAME</var>"
}
},
"resource": {
"type": "k8s_cluster",
"labels": {
"cluster_name": "<var>CLUSTER_NAME</var>",
"location": "<var>CLUSTER_LOCATION</var>",
"project_id": "<var>DEPLOYER_PROJECT_ID</var>"
}
},
"timestamp": "2021-03-19T17:15:43.872702342Z",
"severity": "WARNING",
"logName": "projects/<var>DEPLOYER_PROJECY_ID</var>/logs/binaryauthorization.googleapis.com%2Fcontinuous_validation",
"receiveTimestamp": "2021-03-19T17:57:00.432116179Z"
}
Si deseas obtener información para consultar eventos de CV heredada, revisa Visualiza eventos de CV heredada en Cloud Logging.
Soluciona problemas
La CV heredada usa otros servicios de Google Cloud, como Cloud Asset Inventory y Pub/Sub. En los casos en que la CV heredada falla, puedes verificar los errores de Cloud Asset Inventory en Cloud Logging.
Además, la CV heredada crea un recurso de feed llamado binauthz-cv-cai-feed
. Borrar o modificar el feed podría hacer que la CV heredada falle. La CV heredada restablece automáticamente los feeds faltantes o modificados, pero puede que no registre los resultados hasta que lo haga.
Inhabilita la CV
Console
Para inhabilitar el CV heredado con la consola de Google Cloud, haz lo siguiente:
En la consola de Google Cloud, ve a la página Autorización binaria:
Haz clic en la pestaña Política.
Haz clic en Editar política.
Desmarca la casilla de verificación Habilitar la validación continua.
Haga clic en Save Policy.
API de REST
Para inhabilitar la CV heredada con la API de REST, haz lo siguiente:
Almacena el ID del proyecto:
DEPLOYER_PROJECT_ID=DEPLOYER_PROJECT_ID
Reemplaza
DEPLOYER_PROJECT_ID
por el ID del proyecto en el que ejecutas GKE.Obtén el token de OAuth para Google Cloud.
BEARER_TOKEN=$(gcloud auth print-access-token)
El token solo es válido durante un período breve.
Inhabilita el CV heredado con el siguiente comando:
curl "https://binaryauthorization.googleapis.com/v1alpha2/projects/${DEPLOYER_PROJECT_ID}/continuousValidationConfig" -X PUT -H "authorization: Bearer $BEARER_TOKEN" -H "Content-Type: application/json" --data '{"enforcementPolicyConfig": {"enabled": "false"}}'
Visualiza los eventos de CV heredada en Cloud Logging
Después de habilitar la CV, esta registra con regularidad todos los Pods que infringen la política de autorización binaria en Cloud Logging.
Estas entradas de registro contienen el siguiente nombre de registro:
logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation"
Explorador de registros
Para ver los eventos de CV heredada en Cloud Logging mediante el Explorador de registros, haz lo siguiente:
Selecciona el ID del proyecto en el que habilitaste Google Cloud Observability.
Ingresa la siguiente consulta en el cuadro de búsqueda:
logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation"
Selecciona el rango de tiempo en el selector de rango de tiempo.
Visor de registros heredado
Para ver los eventos de CV heredada en Cloud Logging mediante el Explorador de registros, haz lo siguiente:
Selecciona Volver al visor de registros heredados en el menú desplegable Opciones.
Elige el proyecto de Google Cloud para el que configuraste Google Cloud Observability.
Ingresa la siguiente consulta en el cuadro de búsqueda:
logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation"
Selecciona el rango de tiempo en el selector de rango de tiempo.
gcloud
Para ver los eventos de CV heredada de la última semana en Cloud Logging con gcloud
, ejecuta el siguiente comando:
gcloud logging read --order="desc" --freshness=7d \
'logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation"'
¿Qué sigue?
- Usa la anulación de emergencia para implementar un Pod y ver eventos de emergencia.
- Habilita la ejecución de prueba, implementa una imagen de contenedor y visualiza eventos de ejecución de prueba.