Keamanan lingkungan eksekusi
Setiap fungsi berjalan di atas image runtime berversi dalam fungsi Cloud Run mengamankan lingkungan eksekusi. Image runtime berisi library sistem operasi, runtime bahasa, dan paket sistem lainnya. Kebijakan Privasi mempertahankan semua image runtime fungsi Cloud Run, merilis patch keamanan dan pembaruan pemeliharaan setelah periode pengujian stabilitas.
Image runtime
Setiap runtime memiliki image runtime terkait (juga dikenal sebagai image run) di repositori publik pada gcr.io. Untuk mengetahui daftar ID runtime dan image runtime-nya, lihat runtime.
Mengidentifikasi image runtime Anda
Anda dapat mengidentifikasi image runtime yang digunakan untuk membuat fungsi dengan memeriksa log build untuk fungsi Anda.
Dalam log build, telusuri google.run-image. Hal ini memberi Anda entri log dari langkah build yang menjelaskan versi image runtime yang digunakan untuk membangun fungsi. Misalnya, entri log untuk fungsi Nodejs mungkin terlihat seperti ini:
{
...
"textPayload": "Step #2 - \"build\": Adding image label google.run-image:
us.gcr.io/gae-runtimes/buildpacks/nodejs20/run:nodejs20_20230924_20_6_1_RC00",
...
}
Kebijakan update keamanan
Anda dapat memilih salah satu kebijakan update keamanan berikut:
Automatic updates (default): Update dan patch keamanan pada lingkungan runtime dipublikasikan di image runtime versi baru. Setelah periode pengujian stabilitas dan keandalan, runtime yang diperbarui akan diluncurkan ke semua fungsi sehingga tidak ada pembaruan periode nonaktif. Update keamanan otomatis tersedia dengan fungsi Cloud Run (generasi ke-1) dan fungsi Cloud Run. Untuk melakukan perbaikan keamanan tingkat bahasa, Anda mungkin perlu membangun ulang fungsi yang menggunakan bahasa kompilasi seperti Go atau Java.
Update saat deployment: Update dan patch keamanan diterapkan ke runtime hanya ketika fungsi di-deploy atau di-deploy ulang, kecuali jika dinyatakan lain. Info terbaru tentang deployment tersedia di kedua platform tersebut Fungsi Cloud Run (generasi ke-1) dan fungsi Cloud Run.
Kebijakan update runtime dapat diubah menggunakan --runtime-update-policy
flag di perintah gcloud deploy Anda.
Menetapkan kebijakan update fungsi
Jika menggunakan fungsi Cloud Run (generasi ke-1), Anda dapat mengubah
kebijakan update fungsi dengan menyertakan flag --runtime-update-policy di
perintah gcloud deploy seperti yang ditunjukkan di sini:
gcloud functions deploy FUNCTION_NAME --no-gen2 \
--runtime-update-policy=POLICY ...
Ganti:
- FUNCTION_NAME dengan nama fungsi Anda
- POLICY dengan
automaticatauon-deploy
Memeriksa kebijakan update fungsi Anda
Anda dapat memeriksa kebijakan update fungsi dengan perintah berikut:
gcloud functions describe FUNCTION_NAME \
Dengan FUNCTION_NAME adalah nama fungsi Anda
- Fungsi dengan update keamanan otomatis yang aktif akan memiliki kunci
automaticUpdatePolicy - Fungsi yang diupdate pada deployment akan memiliki kunci
onDeployUpdatePolicy
Mengidentifikasi image runtime yang digunakan setelah update otomatis
Saat Anda mengaktifkan update otomatis, fungsi Cloud Run akan menukar image runtime fungsi dengan revisi baru yang berisi keamanan tambahan {i>patch<i} dan pembaruan. Perubahan ini muncul di log runtime fungsi Anda.
Di dalam log runtime, label runtime_version memberi tahu Anda saat image runtime baru digunakan di fungsi Anda. Entri log untuk fungsi Nodejs yang telah diupdate secara otomatis mungkin terlihat seperti ini:
{
...
"labels:" {
runtime_version: nodejs20_20230924_20_6_1_RC00
execution_id: ...
}
...
}