הפעלת מצב הרצה יבשה

במאמר הזה מוסבר איך להפעיל את מצב ההרצה היבשה.

כשמפעילים את מצב ההרצה היבשה, Binary Authorization מאפשרת פריסה של כל תמונות הקונטיינרים, גם אם התמונות האלה מפרות את מדיניות Binary Authorization. הודעות סטטוס של תאימות למדיניות מתועדות ביומני הביקורת של Cloud. אפשר לבדוק את היומן כדי לדעת אם התמונות היו נפסלות ולבצע פעולות מתקנות. אם הגדרת המדיניות פועלת כמו שרציתם, אתם יכולים להשבית את מצב ההרצה היבשה כדי להפעיל את האכיפה של Binary Authorization. לא תהיה אפשרות לפרוס תמונות שמפירות את המדיניות.

אפשר להגדיר מצב הרצה יבשה בכלל ברירת המחדל או בכלל ספציפי.

לפני שמתחילים

כדי להשתמש במצב הרצה יבשה, צריך להגדיר את Binary Authorization לפלטפורמה.

הפעלת הרצה יבשה

כדי להפעיל הרצה יבשה:

המסוף

  1. נכנסים לדף Binary Authorization במסוף Google Cloud .

    עוברים אל Binary Authorization.

  2. לוחצים על עריכת המדיניות.

  3. בכלל ברירת המחדל או בכלל ספציפי, בוחרים באפשרות מצב הרצה יבשה.

  4. לוחצים על שמירת המדיניות.

gcloud

  1. מייצאים את מדיניות Binary Authorization לקובץ YAML:

    gcloud container binauthz policy export  > /tmp/policy.yaml

  2. בכלי לעריכת טקסט, מגדירים את enforcementMode ל-DRYRUN_AUDIT_LOG_ONLY ושומרים את הקובץ.

    אסור להשתמש בהן וההפרות מתועדות.

  3. כדי לעדכן את המדיניות, מייבאים את הקובץ באמצעות הפעלת הפקודה הבאה:

    gcloud container binauthz policy import /tmp/policy.yaml

כדי לבדוק את מצב ההרצה היבשה, פורסים תמונות שמפירות את המדיניות ואז צופים באירועים של מצב ההרצה היבשה מ-Binary Authorization ל-GKE, ל-Cloud Run או ל-Google Distributed Cloud.

השבתת מצב הרצה יבשה

כדי להשבית את מצב הרצת הבדיקה, מעדכנים את המדיניות באופן הבא:

המסוף

  1. נכנסים לדף Binary Authorization במסוף Google Cloud .

    מעבר אל Binary Authorization

  2. לוחצים על עריכת המדיניות.

  3. בכלל ברירת המחדל או בכלל ספציפי, מבטלים את הסימון של מצב הרצה יבשה.

  4. לוחצים על שמירת המדיניות.

gcloud

  1. מייצאים את מדיניות Binary Authorization:

    gcloud container binauthz policy export  > /tmp/policy.yaml

  2. בכלי לעריכת טקסט, מגדירים את enforcementMode לערך ENFORCED_BLOCK_AND_AUDIT_LOG ושומרים את הקובץ.

  3. כדי לעדכן את המדיניות, מייבאים את הקובץ על ידי הפעלת הפקודה הבאה:

    gcloud container binauthz policy import /tmp/policy.yaml

המאמרים הבאים

  • אפשר לראות אירועים במצב הרצה יבשה מ-Binary Authorization ל-GKE ביומני הביקורת של Cloud.
  • אפשר לראות את האירועים של מצב הרצת בדיקה מ-Binary Authorization ל-Cloud Run ביומני הביקורת של Cloud.
  • אפשר לראות אירועים במצב הרצה יבשה מ-Binary Authorization for Distributed Cloud ביומני הביקורת של Cloud.