《Google Cloud Platform 服務條款 (「Discontinuation of Services」一節)》定義了適用於二進位授權的廢止政策。廢止政策僅適用於其中列出的服務、功能或產品。
服務、功能或產品正式淘汰後,至少在服務條款定義的時間內仍可繼續使用。在這段時間之後,服務將按排程停止使用。
二進位授權即將停止支援 GKE 的舊版持續驗證 (舊版 CV) 和專案單例政策。
- 自 2024 年 4 月 15 日起,您無法在新專案中為 Google Kubernetes Engine (GKE) 啟用舊版 CV。
- 在 2025 年 5 月 1 日前,舊版 CV 仍會透過專案單例政策,監控已啟用該功能的現有專案 GKE Pod。2025 年 5 月 1 日後,舊版 CV 將不再監控 Pod,且不符合專案單一二進位授權政策的 Pod 映像檔將不再產生 Cloud Logging 項目。
取代項目:以檢查為基礎的平台政策,搭配持續驗證 (CV)
使用持續驗證 (CV) 和以檢查為基礎的平台政策監控 Pod。
除了支援認證外,以檢查為基礎的平台政策還可讓您監控與 Pod 相關聯的容器映像檔中繼資料,協助您防範潛在的安全問題。CV 檢查政策會提供下列檢查:
- 安全漏洞檢查:系統會檢查圖片是否有您定義嚴重程度的安全漏洞。
- Sigstore 檢查:映像檔具有由 sigstore 簽署的認證。
- SLSA 檢查:映像檔是從受信任目錄中的來源建構,且建構者也受信任。
- 信任目錄檢查: 映像檔必須位於信任映像檔儲存庫中的信任目錄內。
與舊版持續驗證一樣,採用檢查式政策的 CV 也會將含有不符規定映像檔的 Pod 記錄到 Cloud Logging。
如果您使用舊版持續驗證 (舊版 CV),請參閱「遷移」一文。
如要進一步瞭解如何搭配使用 CV 與以檢查為基礎的平台政策,請參閱「持續驗證總覽」。
遷移
如要從舊版 CV 專案單例政策遷移至對應的檢查式平台政策,請按照下列步驟操作:
- 如果是
ALWAYS_ALLOW專案單例政策,請建立不含任何checkSet封鎖的檢查式平台政策。 - 如為
ALWAYS_DENY專案單例政策,請建立以檢查為基礎的平台政策,其中包含具有alwaysDeny檢查的單一checkSet模塊。 - 如要建立需要驗證的專案單一政策,請建立單一檢查政策,並為專案單一政策中的每個驗證者,在檢查政策中新增一個 SimpleSigningAttestationCheck。使用相同的金鑰組合,檢查作業會繼續使用現有的認證,並只記錄沒有有效認證的 Pod 映像檔。
以檢查為準的平台政策適用於 GKE 叢集,而非 Google Cloud 專案。建立以檢查為基礎的平台政策後,您可以將該政策套用至一或多個叢集。
如要在叢集上啟用 CV 並採用以檢查為準的平台政策,必須在建立或更新叢集時設定叢集的二進位授權設定。