本文說明如何啟用試營運模式。
啟用模擬測試模式後,二進位授權會允許部署所有容器映像檔,即使這些映像檔違反二進位授權政策也一樣。政策合規狀態訊息會記錄到 Cloud 稽核記錄。 您可以檢查記錄,判斷圖片是否會遭到禁止,並採取修正措施。確認政策設定符合預期後,即可停用模擬測試模式,啟用二進位授權強制執行功能。屆時,系統會禁止部署違反政策的映像檔。
您可以在預設規則或特定規則中設定模擬測試模式。
事前準備
如要使用模擬測試模式,請為平台設定二進位授權。
啟用模擬測試
如要啟用模擬測試,請按照下列步驟操作:
主控台
前往 Google Cloud 控制台的「二進位授權」頁面。
按一下「編輯政策」。
在「預設規則」或特定規則中,選取「模擬測試模式」。
點選 [儲存政策]。
gcloud
將二進位授權政策匯出至 YAML 檔案:
gcloud container binauthz policy export > /tmp/policy.yaml在文字編輯器中,將
無法部署,且違規事項會記錄在記錄檔中。enforcementMode設為DRYRUN_AUDIT_LOG_ONLY,然後儲存檔案。如要更新政策,請執行下列指令來匯入檔案:
gcloud container binauthz policy import /tmp/policy.yaml
如要測試試營運模式,請部署違反政策的映像檔,然後查看二進位授權的試營運模式事件 (適用於 GKE、Cloud Run 或 Google Distributed Cloud)。
停用模擬測試模式
如要停用模擬測試模式,請按照下列方式更新政策:
主控台
前往 Google Cloud 控制台的「二進位授權」頁面。
按一下「編輯政策」。
在「預設規則」或特定規則中,取消勾選「模擬測試模式」。
點選 [儲存政策]。
gcloud
匯出二進位授權政策:
gcloud container binauthz policy export > /tmp/policy.yaml在文字編輯器中,將
enforcementMode設為ENFORCED_BLOCK_AND_AUDIT_LOG,然後儲存檔案。如要更新政策,請執行下列指令匯入檔案:
gcloud container binauthz policy import /tmp/policy.yaml
後續步驟
- 在 Cloud 稽核記錄中,查看 GKE 適用的二進位授權模擬執行模式事件。
- 在 Cloud 稽核記錄中,查看 Cloud Run 的二進位授權模擬測試模式事件。
- 在 Cloud 稽核記錄中,查看 Distributed Cloud 的 Binary Authorization 模擬執行模式事件。