Ativar o modo de teste

Este documento explica como ativar o modo de teste.

Quando você ativa o modo de teste, a autorização binária permite que todas as imagens de contêiner sejam implantadas, mesmo que essas imagens violem a política de autorização binária. As mensagens de status de conformidade com a política são registradas nos registros de auditoria do Cloud. É possível inspecionar o registro para determinar se as imagens foram proibidas e realizar ações corretivas. Quando a configuração da política funciona como você pretende, é possível desativar o modo de teste para ativar a aplicação da autorização binária. As imagens que violam a política não podem ser implantadas.

É possível definir o modo de teste na regra padrão ou em uma regra específica.

Antes de começar

Para usar o modo de teste, configure a autorização binária para sua plataforma.

Ativar simulação

Para ativar a simulação, faça o seguinte:

Console

  1. Acesse a página "Autorização binária" no console do Google Cloud .

    Acesse Autorização binária.

  2. Clique em Editar política.

  3. Em Regra padrão ou em uma regra específica, selecione Modo de teste.

  4. Clique em Save Policy.

gcloud

  1. Exporte a política de autorização binária para um arquivo YAML:

    gcloud container binauthz policy export  > /tmp/policy.yaml

  2. Em um editor de texto, defina enforcementMode como DRYRUN_AUDIT_LOG_ONLY e salve o arquivo.

  3. Para atualizar a política, importe o arquivo executando o seguinte comando:

    gcloud container binauthz policy import /tmp/policy.yaml

Para testar o modo de teste, implante imagens que violem a política e visualize eventos de modo de teste da autorização binária para o GKE, Cloud Run, ou o Google Distributed Cloud.

Desativar modo de teste

Para desativar o modo de teste, atualize a política desta maneira:

Console

  1. Acesse a página "Autorização binária" no console do Google Cloud .

    Acesse Autorização binária

  2. Clique em Editar política.

  3. Em Regra padrão ou em uma regra específica, desmarque o Modo de teste.

  4. Clique em Save Policy.

gcloud

  1. Exporte a política de autorização binária:

    gcloud container binauthz policy export  > /tmp/policy.yaml

  2. Em um editor de texto, defina enforcementMode como ENFORCED_BLOCK_AND_AUDIT_LOG e salve o arquivo.

  3. Para atualizar a política, importe o arquivo executando o seguinte comando:

    gcloud container binauthz policy import /tmp/policy.yaml

A seguir

  • Ver eventos do modo de teste da autorização binária para o GKE nos registros de auditoria do Cloud.
  • Ver eventos do modo de teste da autorização binária para o Cloud Run em registros de auditoria do Cloud.
  • Confira os eventos do modo de teste da autorização binária para Distributed Cloud nos Registros de auditoria do Cloud.