בדף הזה מוסבר איך להגדיר את Binary Authorization לשימוש בשירותים ובעבודות של Cloud Run.
איך כללי מדיניות של Binary Authorization חלים על Cloud Run
אפשר להגדיר מדיניות של Binary Authorization בשירותים ובמשימות של Cloud Run. עם זאת, אכיפת המדיניות משתנה מעט בין שירותים ומשימות ב-Cloud Run.
כללי מדיניות שחלים על שירותי Cloud Run
כשמגדירים מדיניות של Binary Authorization בשירות, מערכת Cloud Run בודקת את המדיניות בכל פעם שמבצעים פריסה של גרסה חדשה. אם הגרסה החדשה לא תעמוד בדרישות המדיניות, הפריסה תיכשל. עם זאת, אם זה קורה, אפשר להשתמש בתכונה breakglass כדי לעקוף את מדיניות Binary Authorization ולפרוס עדכון באמצעות קונטיינר שלא עומד בדרישות.
שינויים במדיניות של Binary Authorization לא חלים באופן רטרואקטיבי על גרסאות קיימות.
כללי מדיניות שחלים על משימות ב-Cloud Run
כשמגדירים מדיניות של Binary Authorization למשימה, Cloud Run בודק את המדיניות בכל פעם שמריצים את המשימה. אם למשרה יש מאגר חוויות מוצגות שלא עומד בדרישות:
- עדיין אפשר לעדכן את המשרה בהצלחה.
- ההרצה של העבודה תיכשל. במקרים כאלה, אפשר להשתמש בתכונה breakglass כדי לעקוף את מדיניות Binary Authorization.
שינויים במדיניות של Binary Authorization לא חלים באופן רטרואקטיבי על הרצות שכבר פועלות.
לפני שמתחילים
לפני שמשתמשים ב-Binary Authorization ל-Cloud Run, מומלץ להגדיר את סביבת Cloud Run.
שלבי ההגדרה
כדי להגדיר את Binary Authorization ל-Cloud Run:
- מפעילים את Binary Authorization.
- המלצה: הגדרת דרישה ל-Binary Authorization ב-Cloud Run באמצעות מדיניות הארגון.
- הפעלת Binary Authorization ב-Cloud Run
מגדירים את המדיניות של Binary Authorization.
אפשר להגדיר את התכונות הבאות במדיניות:
כדי לפרוס פונקציות ב-Cloud Run, אדמין המדיניות של Binary Authorization צריך להגדיר את מדיניות Binary Authorization כך שכל התמונות יהיו פטורות מ
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**המאגר וספריות המשנה שלו.אופציונלי: אפשר להשתמש ב
built-by-cloud-buildגורם מאמת (attestor) כדי לפרוס רק קובצי אימג' שנבנו על ידי Cloud Build (גרסת טרום-השקה (Preview)).אופציונלי: שימוש באישורים.
צפייה באירועים של Binary Authorization ב-Cloud Run ביומני הביקורת של Cloud