Panduan ini menjelaskan cara membuat dan menggunakan pengesahan Otorisasi Biner. Setelah image container dibangun, pengesahan dapat dibuat untuk menegaskan bahwa aktivitas yang diperlukan telah dilakukan pada image, seperti uji regresi, pemindaian kerentanan, atau pengujian lainnya. Pengesahan dibuat dengan menandatangani ringkasan unik gambar.
Selama deployment, alih-alih mengulangi aktivitas, Otorisasi Biner memverifikasi pengesahan menggunakan pengesah. Jika semua pengesahan untuk image diverifikasi, Otorisasi Biner akan mengizinkan image tersebut di-deploy.
Sebelum memulai
Siapkan Otorisasi Biner dengan salah satu produk berikut:
Pengguna Cloud Service Mesh hanya perlu menyiapkan kebijakan Otorisasi Biner. Untuk melakukannya, lihat Mengonfigurasi kebijakan, nanti di panduan ini.
Membuat pengesah
Untuk menggunakan pengesahan, Anda harus membuat pengesah terlebih dahulu. Pada waktu deployment, Otorisasi Biner menggunakan pengesah untuk memverifikasi pengesahan yang terkait dengan image container.
Anda dapat membuat pengesah menggunakan metode berikut:
Mengonfigurasi aturan kebijakan untuk mewajibkan pengesahan
Bagian ini menjelaskan cara mengonfigurasi kebijakan untuk mewajibkan pengesahan.
GKE
Konfigurasi aturan default untuk mewajibkan pengesahan menggunakan metode berikut:
Konfigurasi aturan khusus cluster untuk mewajibkan pengesahan menggunakan metode berikut:
Cloud Run
Konfigurasi aturan default untuk mewajibkan pengesahan menggunakan salah satu metode berikut:
Cloud Terdistribusi
- Konfigurasi aturan default untuk mewajibkan pengesahan menggunakan metode berikut:
- Konfigurasi aturan khusus cluster untuk mewajibkan pengesahan menggunakan metode berikut:
Mesh Layanan Cloud
Pengguna Cloud Service Mesh dapat membuat aturan—termasuk aturan yang memerlukan pengesahan—yang dicakup ke identitas layanan mesh, akun layanan Kubernetes, atau namespace Kubernetes.
Untuk mengonfigurasi aturan tertentu, gunakan metode berikut:
Membuat pengesahan
Pengesahan dibuat oleh penanda tangan. Proses pembuatan pengesahan juga dikenal sebagai penandatanganan image. Penanda tangan dapat berupa orang yang membuat pengesahan secara manual. Atau, penanda tangan dapat berupa layanan otomatis. Untuk mengetahui petunjuk yang menjelaskan berbagai pendekatan untuk membuat pengesahan, lihat halaman berikut:
- Buat pengesahan secara manual dengan menandatangani image container.
- Membuat pengesahan di pipeline Cloud Build.
Men-deploy image
Setelah membuat pengesahan, Anda siap men-deploy image terkait.
GKE
Cloud Run
Cloud Terdistribusi
Mesh Layanan Cloud
Workload Cloud Service Mesh diterapkan segera setelah kebijakan disimpan.
Langkah berikutnya
- Melihat log audit
- Melihat log audit breakglass Cloud Run
- Menggunakan breakglass (GKE)
- Menggunakan breakglass (Cloud Run)
- Menggunakan ringkasan image dalam manifes Kubernetes