Mengaktifkan Otorisasi Biner untuk Cloud Run

Panduan ini menunjukkan cara menyiapkan Otorisasi Biner untuk menerapkan deployment berbasis kebijakan pada layanan dan tugas Cloud Run.

Sebelum memulai

Siapkan Cloud Run dan aktifkan API dengan melakukan hal berikut:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  7. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  13. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

    14. Mengaktifkan Otorisasi Biner pada layanan Cloud Run yang ada

    Anda dapat mengaktifkan penerapan Otorisasi Biner pada layanan yang ada. Untuk mengaktifkan penerapan setelah mengaktifkannya, Anda mungkin perlu men-deploy revisi atau memperbarui traffic layanan.

    Anda dapat mengaktifkan penerapan Otorisasi Biner pada layanan yang ada menggunakan konsol Google Cloud atau Google Cloud CLI:

    Konsol

    1. Buka halaman Cloud Run di konsol Google Cloud .

      Buka Cloud Run

    2. Klik layanan.

    3. Klik tab Keamanan.

    4. Untuk mengaktifkan penerapan Otorisasi Biner di layanan, klik Aktifkan.

    5. Opsional: Untuk mengonfigurasi kebijakan Otorisasi Biner, klik Configure Policy.

    gcloud

    Aktifkan Otorisasi Biner di layanan dan deploy:

    gcloud run services update SERVICE_NAME --binary-authorization=default

    Ganti SERVICE_NAME dengan nama untuk layanan Anda.

    YAML

    1. Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:

      gcloud run services describe SERVICE --format export > service.yaml

    2. Perbarui anotasi run.googleapis.com/binary-authorization: sebagai berikut:

      apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  annotations:
    run.googleapis.com/binary-authorization: POLICY
  name: SERVICE
spec:
  template:

      Ganti kode berikut:

      • SERVICE: nama Cloud Run Anda
      • POLICY: tetapkan ke default

    3. Ganti layanan dengan konfigurasi barunya menggunakan perintah berikut:

    gcloud run services replace service.yaml

    Mengaktifkan Otorisasi Biner pada tugas Cloud Run yang ada

    Anda dapat mengaktifkan penerapan Otorisasi Biner pada tugas yang ada menggunakan KonsolGoogle Cloud atau Google Cloud CLI:

    Konsol

    1. Buka halaman tugas Cloud Run di konsol Google Cloud .

      Buka Cloud Run

    2. Klik tugas untuk membuka detail tugas.

    3. Klik tab Configuration.

    4. Di bagian Binary Authorization, pilih kebijakan dari daftar kebijakan.

    5. Klik Terapkan untuk mengaktifkan penerapan Otorisasi Biner pada tugas.

    6. Opsional: Untuk mengonfigurasi kebijakan Otorisasi Biner, klik Configure Policy.

    gcloud

    Aktifkan Otorisasi Biner pada tugas:

    gcloud run jobs update JOB_NAME --binary-authorization=POLICY

    Ganti kode berikut:

    • JOB_NAME: nama tugas Anda.
    • POLICY: kebijakan yang ingin Anda terapkan. Gunakan nilai default untuk menggunakan kebijakan default.

    Sebaiknya wajibkan Otorisasi Biner untuk Cloud Run dengan mengonfigurasi kebijakan organisasi untuk melakukannya. Otorisasi Biner dapat dinonaktifkan oleh developer Cloud Run jika kebijakan tidak dikonfigurasi.

    Melihat kebijakan

    Untuk melihat kebijakan, klik Lihat kebijakan.

    Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kebijakan Otorisasi Biner.

    Kegagalan deployment layanan atau tugas

    Jika layanan atau tugas Anda gagal di-deploy karena melanggar kebijakan Otorisasi Biner, Anda mungkin melihat error seperti berikut:

    Revision REVISION_NAME uses an unauthorized container image.
Container image IMAGE_NAME is not authorized by policy.

    Error ini juga berisi informasi tentang alasan gambar melanggar kebijakan. Dalam hal ini, Anda dapat menggunakan breakglass untuk melewati penegakan kebijakan dan men-deploy image.

    Mengaktifkan Otorisasi Biner di layanan baru

    Anda dapat mengaktifkan Otorisasi Biner pada layanan baru menggunakan konsol Google Cloud atau Google Cloud CLI:

    Konsol

    1. Buka halaman Cloud Run:

      Buka Cloud Run

    2. Klik Create service.

    3. Di formulir Create service :

      1. Pilih Cloud Run sebagai platform pengembangan Anda.
      2. Pilih wilayah tempat Anda ingin layanan berada.
      3. Masukkan nama layanan.
      4. Klik Next untuk melanjutkan ke halaman Configure the service's first revision.
      5. Pilih Men-deploy satu revisi dari image container yang sudah ada.
      6. Masukkan atau pilih gambar yang akan di-deploy.
      7. Luaskan bagian Setelan lanjutan.
      8. Klik tab Keamanan.

      9. Centang kotak Verify container deployment with Binary Authorization.

      10. Opsional: Klik Configure policy untuk mengonfigurasi kebijakan Otorisasi Biner. Untuk mempelajari lebih lanjut cara mengonfigurasi kebijakan, lihat Mengonfigurasi kebijakan.

      11. Men-deploy service.

    gcloud

    Aktifkan Otorisasi Biner di layanan dan deploy:

      gcloud run deploy SERVICE_NAME --image=IMAGE_URL --binary-authorization=default --region=REGION

    Ganti kode berikut:

    • SERVICE_NAME: nama untuk layanan Anda.
    • IMAGE_URL: image yang ingin Anda deploy.
    • REGION: region tempat Anda ingin men-deploy layanan.

    Mengaktifkan Otorisasi Biner pada tugas baru

    Anda dapat mengaktifkan Otorisasi Biner pada tugas baru menggunakan salah satu opsi berikut:

    Konsol

    1. Buka halaman tugas Cloud Run:

      Buka tugas Cloud Run

    2. Klik Buat Tugas untuk menampilkan formulir Buat tugas.

      1. Di bagian formulir, tentukan image container yang berisi kode tugas atau pilih dari daftar container yang sebelumnya di-deploy.
      2. Nama tugas dibuat secara otomatis dari image container. Anda dapat mengedit atau mengubah nama pekerjaan sesuai kebutuhan. Nama pekerjaan tidak dapat diubah setelah tugas dibuat.
      3. Pilih wilayah tempat Anda ingin tugas berada.
      4. Tentukan jumlah tugas yang ingin Anda jalankan dalam tugas. Semua tugas harus berhasil agar pekerjaan berhasil. Secara default, tugas dijalankan secara paralel.

    3. Klik Container, Variabel & Rahasia, Koneksi, Keamanan untuk menetapkan properti tugas tambahan.

      • Klik tab Setelan. Di bagian Resources, konfigurasikan hal berikut:

        1. Di menu Memory, tentukan jumlah memori yang diperlukan. Setelan defaultnya adalah ukuran minimum yang diperlukan, 512 MiB.
        2. Di menu CPU, tentukan jumlah CPU yang diperlukan. Defaultnya adalah jumlah minimum yang diperlukan, 1 CPU.

      • Di bagian Kapasitas tugas:

        1. Di bagian Waktu tunggu tugas, tentukan jumlah waktu maksimum dalam detik untuk menjalankan tugas, hingga 168 jam (7 hari). Setiap tugas harus selesai dalam waktu yang ditentukan. Nilai defaultnya adalah 10 menit.

        2. Di bagian Jumlah percobaan ulang per tugas yang gagal, tentukan jumlah percobaan ulang jika terjadi kegagalan tugas. Defaultnya adalah 3 percobaan ulang.

      • Di bagian Paralelisme:

        1. Dalam sebagian besar kasus, Anda dapat memilih Jalankan sebanyak mungkin tugas secara serentak.
        2. Jika Anda perlu menetapkan batas yang lebih rendah karena batasan penskalaan pada resource yang diakses tugas Anda, pilih Batasi jumlah maksimum tugas serentak dan tentukan jumlah tugas serentak di kolom Batas paralelisme kustom.

    4. Setelah selesai mengonfigurasi tugas, klik Create untuk membuat tugas di Cloud Run.

    5. Untuk menjalankan tugas, lihat menjalankan tugas atau menjalankan tugas sesuai jadwal.

    gcloud

    1. Buat tugas baru dengan Otorisasi Biner yang diaktifkan:

      gcloud run jobs create JOB_NAME \
  --image IMAGE_URL OPTIONS \
  --binary-authorization=POLICY \
  --region=REGION

      Ganti kode berikut:

      • JOB_NAME: nama tugas yang ingin Anda buat. Anda dapat menghilangkan parameter ini, tetapi Anda akan diminta untuk memasukkan nama tugas jika menghilangkannya.
      • POLICY: kebijakan yang ingin Anda terapkan. Gunakan nilai default untuk menggunakan kebijakan default.
      • IMAGE_URL: referensi ke image container—misalnya, us-docker.pkg.dev/cloudrun/container/job:latest.
      • REGION: region tempat tugas ini akan dijalankan.
      • OPTIONS: salah satu opsi yang tersedia yang dijelaskan di halaman pembuatan tugas Cloud Run.

    2. Tunggu hingga pembuatan tugas selesai dibuat. Setelah berhasil diselesaikan, konsol akan menampilkan pesan berhasil.

    3. Untuk menjalankan tugas, lihat Menjalankan tugas atau menjalankan tugas sesuai jadwal.

    Saat Anda membuat tugas baru, agen layanan Cloud Run harus dapat mengakses container, yang merupakan kasus default.

    YAML

    1. Buat file job.yaml baru dengan konten ini:

      apiVersion: run.googleapis.com/v1
kind: Job
metadata:
  name: JOB
  annotations:
    run.googleapis.com/binary-authorization: POLICY
spec:
  template:
    spec:
      containers:
      - image: IMAGE

      Ganti kode berikut:

      • JOB: nama tugas Cloud Run Anda
      • IMAGE: URL image container Anda
      • POLICY: tetapkan ke default

    2. Deploy tugas baru menggunakan perintah berikut:

      gcloud run jobs replace job.yaml

    Langkah berikutnya