במדריך הזה מוסבר איך לצפות ב-Binary Authorization עבור Cloud Run ביומני הביקורת של Cloud.
אירועי פריסה חסומים ב-Cloud Logging
Logs Explorer
כדי לראות אירועי פריסה שנחסמו ב-Logs Explorer ב-Cloud Logging, מבצעים את הפעולות הבאות:
נכנסים לדף Logs Explorer של יומני ביקורת של Cloud:
בבורר הפרויקטים בחלק העליון של הדף, בוחרים אתGoogle Cloud מזהה הפרויקט שבו מריצים את Cloud Run.
מזינים את השאילתה הבאה בתיבה search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"בוחרים את טווח הזמן בבורר טווח הזמן.
כדי לחפש בערכי היומן, לוחצים על הרחבת שדות מקוננים.
gcloud
כדי לראות ב-Cloud Logging אירועים של הפרת מדיניות מהשבוע האחרון באמצעות Google Cloud CLI, מבצעים את הפעולות הבאות:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
אירועים של Breakglass ב-Cloud Logging
Breakglass מאפשרת לכם לבטל את האכיפה של מדיניות Binary Authorization ולפרוס קובץ אימג' של קונטיינר שמפרה את המדיניות.
שאילתה ב-Cloud Logging לגבי שינויים עם breakglass שצוין
Logs Explorer
כדי לראות אירועי breakglass ב-Logs Explorer ב-Cloud Logging:
נכנסים לדף Logs Explorer של יומני ביקורת של Cloud:
בבורר הפרויקטים בראש הדף, בוחרים את מזהה הפרויקט שבו מריצים את Cloud Run.
בתיבה search-query, מזינים את השאילתה הבאה:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"כדי לצמצם עוד יותר את החיפוש, מוסיפים את השורות הבאות:
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATIONבוחרים את טווח הזמן בבורר טווח הזמן.
כדי לחפש בערכי היומן, לוחצים על הרחבת שדות מקוננים.
gcloud
כדי לראות אירועי breakglass מהשבוע האחרון ב-Cloud Logging באמצעות ה-CLI של gcloud, מבצעים את הפעולות הבאות:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
שאילתת אירועים של פתיחת גישה במקרה של כשל ב-Cloud Logging
Logs Explorer
כדי לראות אירועים של פתיחה במקרה של כשל ב-Logs Explorer של Cloud Logging:
נכנסים לדף Logs Explorer של יומני ביקורת של Cloud:
בבורר הפרויקטים בראש הדף, בוחרים את מזהה הפרויקט שבו מריצים את Cloud Run.
בתיבה search-query, מזינים את השאילתה הבאה:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"בוחרים את טווח הזמן בבורר טווח הזמן.
כדי לחפש בערכי היומן, לוחצים על הרחבת שדות מקוננים.
gcloud
כדי להציג אירועי פתיחה במקרה של כשל מהשבוע האחרון ב-Cloud Logging באמצעות ה-CLI של gcloud, מבצעים את הפעולות הבאות:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
שליחת שאילתה ל-Cloud Logging לגבי אירועים של הרצה יבשה
Logs Explorer
כדי לראות אירועים של הרצה יבשה ב-Logs Explorer ב-Cloud Logging:
נכנסים לדף Logs Explorer של יומני ביקורת של Cloud:
בבורר הפרויקטים בראש הדף, בוחרים את מזהה הפרויקט שבו מריצים את Cloud Run.
בתיבה search-query, מזינים את השאילתה הבאה:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"בוחרים את טווח הזמן בבורר טווח הזמן.
כדי לחפש בערכי היומן, לוחצים על הרחבת שדות מקוננים.
gcloud
כדי להציג ב-Cloud Logging אירועי פריסה של הרצת בדיקה מהשבוע האחרון באמצעות ה-CLI של gcloud:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
המאמרים הבאים
מגדירים את מדיניות Binary Authorization באמצעות Google Cloud המסוף או כלי שורת הפקודה.
משתמשים באימותים כדי לפרוס רק קובצי אימג' חתומים של קונטיינרים.