本文說明如何啟用試執行模式。
啟用模擬測試模式後,二進位授權會允許部署所有容器映像檔,即使這些映像檔違反二進位授權政策也一樣。政策合規狀態訊息會記錄到 Cloud 稽核記錄。您可以檢查記錄,判斷圖片是否會遭到禁止,並採取修正措施。確認政策設定符合預期後,即可停用模擬測試模式,啟用二進位授權強制執行功能;違反政策的映像檔將無法部署。
您可以在預設規則或特定規則中設定模擬測試模式。
事前準備
如要使用模擬測試模式,請為平台設定二進位授權。
啟用模擬測試
如要啟用模擬測試,請按照下列步驟操作:
控制台
前往 Google Cloud 控制台的「二進位授權」頁面。
點選「編輯政策」。
在「預設規則」或特定規則中,選取「模擬測試模式」。
點選 [儲存政策]。
gcloud
將二進位授權政策匯出為 YAML 檔案:
gcloud container binauthz policy export > /tmp/policy.yaml在文字編輯器中,將
enforcementMode設為DRYRUN_AUDIT_LOG_ONLY,然後儲存檔案。如要更新政策,請執行下列指令匯入檔案:
gcloud container binauthz policy import /tmp/policy.yaml
如要測試試營運模式,請部署違反政策的映像檔,然後從二進位授權檢視 GKE、Cloud Run 或 Google Distributed Cloud 的試營運模式事件。
停用模擬測試模式
如要停用模擬測試模式,請更新政策,如下所示:
控制台
前往 Google Cloud 控制台的「二進位授權」頁面。
點選「編輯政策」。
在「預設規則」或特定規則中,取消勾選「模擬測試模式」。
點選 [儲存政策]。
gcloud
匯出二進位授權政策:
gcloud container binauthz policy export > /tmp/policy.yaml在文字編輯器中,將
enforcementMode設為ENFORCED_BLOCK_AND_AUDIT_LOG,然後儲存檔案。如要更新政策,請執行下列指令匯入檔案:
gcloud container binauthz policy import /tmp/policy.yaml
後續步驟
- 在 Cloud 稽核記錄中,查看 GKE 適用的二進位授權模擬執行模式事件。
- 在 Cloud 稽核記錄中,查看 Cloud Run 的二進位授權模擬測試模式事件。
- 在 Cloud 稽核記錄中,查看 Distributed Cloud 的 Binary Authorization 模擬執行模式事件。