启用试运行模式

本文档介绍了如何启用试运行模式。

启用试运行模式时,Binary Authorization 会允许部署所有容器映像,即使这些映像违反了 Binary Authorization 政策也是如此。政策合规性状态消息会记录到 Cloud Audit Logs 中。您可以通过检查日志来确定某些映像是否应该被禁止部署并采取相应的纠正措施。如果政策配置按预期正常工作,您可以停用试运行模式以启用 Binary Authorization 强制执行;这样,那些违反了该政策的映像便会被禁止部署。

您可以在默认规则或特定规则中设置试运行模式。

准备工作

如需使用试运行模式,请为您的平台设置 Binary Authorization

启用试运行

如需启用试运行,请执行以下操作:

控制台

  1. 转到 Google Cloud 控制台中的 Binary Authorization 页面。

    转到 Binary Authorization

  2. 点击修改政策

  3. 默认规则或特定规则中,选中试运行模式

  4. 点击保存政策

gcloud

  1. 将 Binary Authorization 政策导出到 YAML 文件:

    gcloud container binauthz policy export  > /tmp/policy.yaml

  2. 在文本编辑器中,将 enforcementMode 设置为 DRYRUN_AUDIT_LOG_ONLY 并保存文件。

  3. 如需更新政策,请执行以下命令以导入文件:

    gcloud container binauthz policy import /tmp/policy.yaml

如需测试试运行模式,请有意部署一些违反政策的映像,然后从 Binary Authorization for GKE、Binary Authorization for Cloud Run 或 Binary Authorization for Google Distributed Cloud 中查看试运行模式事件。

停用试运行模式

如需停用试运行模式,请按如下所示更新政策:

控制台

  1. 转到 Google Cloud 控制台中的 Binary Authorization 页面。

    转到 Binary Authorization

  2. 点击修改政策

  3. 默认规则或特定规则中,清除试运行模式

  4. 点击保存政策

gcloud

  1. 导出 Binary Authorization 政策:

    gcloud container binauthz policy export  > /tmp/policy.yaml

  2. 在文本编辑器中,将 enforcementMode 设置为 ENFORCED_BLOCK_AND_AUDIT_LOG 并保存文件。

  3. 如需更新政策,请执行以下命令以导入文件:

    gcloud container binauthz policy import /tmp/policy.yaml

后续步骤

  • 在 Cloud Audit Logs 中查看源自 Binary Authorization for GKE 的试运行模式事件。
  • 在 Cloud Audit Logs 中查看源自 Binary Authorization for Cloud Run 的试运行模式事件。
  • 在 Cloud Audit Logs 中查看源自 Binary Authorization for Distributed Cloud 的试运行模式事件。