Questa guida descrive come creare e utilizzare le attestazioni di Autorizzazione binaria. Una volta creata un'immagine container, è possibile creare un'attestazione per confermare che è stata eseguita un'attività richiesta sull'immagine, ad esempio un test di regressione, un'analisi delle vulnerabilità o un altro test. L'attestazione viene creata firmando il digest univoco dell'immagine.
Durante il deployment, anziché ripetere le attività, Autorizzazione binaria verifica le attestazioni utilizzando un attestatore. Se tutte le attestazioni per un'immagine vengono verificate, Autorizzazione binaria consente il deployment dell'immagine.
Prima di iniziare
Configura Autorizzazione binaria con uno dei seguenti prodotti:
Gli utenti di Cloud Service Mesh devono solo configurare il criterio di autorizzazione binaria. Per farlo, consulta Configurare un criterio più avanti in questa guida.
Crea un attestatore
Per utilizzare le attestazioni, devi prima creare gli attestatori. Al momento del deployment, Autorizzazione binaria utilizza gli attestatori per verificare l'attestazione associata all'immagine container.
Puoi creare attestatori utilizzando i seguenti metodi:
Configurare una regola del criterio per richiedere attestazioni
Questa sezione descrive come configurare le norme in modo che richiedano attestazioni.
GKE
Configura la regola predefinita per richiedere attestazioni utilizzando i seguenti metodi:
Configura una regola specifica del cluster per richiedere attestazioni utilizzando i seguenti metodi:
Cloud Run
Configura la regola predefinita per richiedere le attestazioni utilizzando uno dei seguenti metodi:
Distributed Cloud
- Configura la regola predefinita per richiedere le attestazioni utilizzando i seguenti metodi:
- Configura una regola specifica per il cluster per richiedere le attestazioni utilizzando i seguenti metodi:
Cloud Service Mesh
Gli utenti di Cloud Service Mesh possono creare regole, incluse quelle che richiedono attestazioni, con ambito limitato a un'identità di servizio mesh, un account di servizio Kubernetes o uno spazio dei nomi Kubernetes.
Per configurare una regola specifica, utilizza i seguenti metodi:
Creazione di attestazioni
Le attestazioni vengono create da un firmatario. La procedura di creazione di un'attestazione è nota anche come firma di un'immagine. Un firmatario può essere una persona che crea manualmente un'attestazione. In alternativa, un firmatario può essere un servizio automatizzato. Per istruzioni che descrivono diversi approcci alla creazione di attestazioni, consulta le seguenti pagine:
- Crea attestazioni manualmente firmando un'immagine container.
- Crea attestazioni in una pipeline Cloud Build.
Esegui il deployment di un'immagine
Dopo aver creato un'attestazione, puoi eseguire il deployment dell'immagine associata.
GKE
Cloud Run
Distributed Cloud
Esegui il deployment delle immagini utilizzando Distributed Cloud.
Cloud Service Mesh
I carichi di lavoro Cloud Service Mesh vengono applicati non appena i criteri vengono salvati.
Passaggi successivi
- Visualizzare i log di controllo
- Visualizzare i log di controllo di breakglass di Cloud Run
- Utilizzare breakglass (GKE)
- Utilizzare deployment di emergenza (Cloud Run)
- Utilizzare i digest delle immagini nei manifest di Kubernetes