Men-deploy container (GKE, Distributed Cloud)

Halaman ini menjelaskan cara men-deploy image container ke cluster GKE (diGoogle Cloud atau Google Distributed Cloud) tempat Otorisasi Biner diaktifkan. Perintah kubectl yang Anda gunakan untuk men-deploy image sama dengan perintah yang Anda gunakan untuk men-deploy image ke cluster yang tidak menggunakan Otorisasi Biner.

Sebelum memulai

Pastikan Anda telah mengaktifkan Binary Authorization API di project dan cluster GKE dengan Otorisasi Biner diaktifkan. Lihat penyiapan di Google Kubernetes Engine atau penyiapan di Distributed Cloud.

Instal kubectl untuk berinteraksi dengan GKE.

Konfigurasi kubectl

Anda harus mengupdate file kubeconfig lokal untuk penginstalan kubectl Anda. Hal ini memberikan informasi endpoint dan kredensial yang diperlukan untuk mengakses cluster di GKE atau Distributed Cloud.

Untuk mengonfigurasi kubectl, jalankan perintah gcloud berikut:

gcloud container clusters get-credentials \
    --zone ZONE \
    CLUSTER_NAME

gcloud container fleet memberships get-credentials \
    --location LOCATION \
    MEMBERSHIP_NAME

Men-deploy image container

Deploy image container Anda sebagai berikut:

1. Konfigurasi variabel lingkungan:

   POD_NAME=POD_NAME
   IMAGE_PATH=IMAGE_PATH
   IMAGE_DIGEST=IMAGE_DIGEST
   

   Ganti kode berikut:

   • POD_NAME: nama yang ingin Anda gunakan untuk workload GKE
   • IMAGE_PATH: jalur image di Artifact Registry, atau registry lainnya.

   • IMAGE_DIGEST: ringkasan manifes image. Contohnya adalah sebagai berikut:

     • Artifact Registry:
       • Jalur: us-docker.pkg.dev/google-samples/containers/gke/hello-app
       • Intisari: sha256:37e5287945774f27b418ce567cd77f4bbc9ef44a1bcd1a2312369f31f9cce567

     Untuk mempelajari cara mendapatkan ringkasan image di Artifact Registry, lihat Mengelola image.

2. Deploy image Anda menggunakan perintah kubectl run.

   Anda harus men-deploy image menggunakan ringkasan, bukan tag seperti 1.0 atau latest, karena Otorisasi Biner menggunakan ringkasan untuk mencari pengesahan.

   Untuk men-deploy image, jalankan perintah kubectl berikut:

   kubectl run ${POD_NAME} \
       --image ${IMAGE_PATH}@${IMAGE_DIGEST}
   

   Sekarang, verifikasi bahwa deployment diblokir oleh Otorisasi Biner:

   kubectl get pods
   

   Anda akan melihat Pod Anda tercantum.

Fail open

Jika GKE tidak dapat menghubungi server Otorisasi Biner karena alasan apa pun, atau jika server menampilkan error, GKE tidak dapat menentukan apakah Otorisasi Biner akan mengizinkan atau menolak image. Dalam hal ini, GKE gagal terbuka: secara default, GKE mengizinkan image di-deploy, tetapi membuat entri log di Cloud Audit Logs untuk mencatat alasan image diizinkan.

Penerapan GKE gagal terbuka karena kompromi antara keandalan dan keamanan. GKE mengirimkan permintaan ke Binary Authorization setiap kali Pod dibuat atau diupdate. Hal ini mencakup skenario saat Pod dibuat atau diupdate secara otomatis oleh pengontrol workload Kubernetes tingkat yang lebih tinggi, seperti ReplicaSet dan StatefulSet. Jika GKE gagal ditutup, bukan dibuka, setiap gangguan Binary Authorization akan menghentikan Pod ini agar tidak berjalan. Selain itu, jika Pod ditolak, failover dapat menyebabkan kegagalan beruntun karena traffic yang dialihkan membebani Pod yang masih berjalan. Setiap gangguan Otorisasi Biner dapat memicu gangguan total untuk cluster Anda, bahkan tanpa men-deploy image baru.

Men-deploy image yang melanggar kebijakan

Otorisasi Biner mendukung fitur yang dikenal sebagai breakglass yang memungkinkan image di-deploy, meskipun melanggar kebijakan.

Untuk mengetahui informasi selengkapnya, lihat Menggunakan breakglass

Pembersihan

Untuk membersihkan, hapus Pod dengan menjalankan perintah berikut:

  kubectl delete pod ${POD_NAME}
  

Langkah berikutnya

• Pelajari mode uji coba.
• Pelajari cara menggunakan CV.
• Pelajari cara menggunakan validasi berkelanjutan lama (tidak digunakan lagi).
• Pelajari cara menggunakan ringkasan image dalam manifes Kubernetes.