Memperbarui kebijakan Otorisasi Biner

Dokumen ini menjelaskan cara mengecualikan image dalam kebijakan Otorisasi Biner.

Dalam dokumen ini, Anda akan memperbarui kebijakan untuk mengecualikan image container di Artifact Registry dari penerapan Otorisasi Biner dan menetapkan aturan default untuk melarang semua container lainnya di-deploy.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Instal Google Cloud CLI.

  6. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  7. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Instal Google Cloud CLI.

  12. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  13. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init
  14. Jika Anda tidak menggunakan Cloud Shell, instal kubectl.

Membuat cluster dengan Otorisasi Biner diaktifkan

Buat cluster GKE dengan Otorisasi Biner diaktifkan. Cluster ini adalah tempat Anda ingin menjalankan image container yang di-deploy.

Google Cloud Konsol

  1. Buka halaman Clusters GKE di Google Cloud konsol.

    Buka GKE

    Konsol akan menampilkan daftar cluster GKE di project Google Cloud Anda.

  2. Klik Create Cluster.

  3. Masukkan test-cluster di kolom Name.

    Kolom nama di template cluster standar

  4. Pilih Zonal di opsi Location Type.

  5. Pilih us-central1-a dari menu drop-down Zone.

  6. Klik link Security untuk menampilkan panel Security.

  7. Di panel Security, pilih Enable Binary Authorization.

    Mengaktifkan opsi Otorisasi Biner

  8. Pilih Enforce-only.

  9. Klik Create.

gcloud

Jalankan gcloud container clusters create dengan flag --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE diaktifkan.

gcloud container clusters create \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --zone us-central1-a \
    test-cluster

Melihat kebijakan Default

Secara default, kebijakan Otorisasi Biner Anda dikonfigurasi untuk mengizinkan semua image container di-deploy.

Google Cloud Konsol

Untuk melihat kebijakan default, lakukan hal berikut:

  1. Buka halaman Binary Authorization di Google Cloud konsol.

    Buka Otorisasi Biner

    Konsol akan menampilkan detail tentang kebijakan tersebut.

  2. Klik Edit Policy.

  3. Di Project Default Rule, opsi Allow All Images dipilih.

gcloud

Untuk melihat kebijakan default, ekspor file YAML kebijakan, lakukan hal berikut:

gcloud container binauthz policy export

Secara default, file tersebut memiliki konten berikut:

globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_ALLOW
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/<var>PROJECT_ID</var>/policy

REST API

Untuk melihat kebijakan default, ambil dalam format JSON sebagai berikut:

curl \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

REST API akan menampilkan hal berikut:

{
  "name": "projects/PROJECT_ID/policy",
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_ALLOW",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}

Hanya mengizinkan image yang dikecualikan

Bagian ini menjelaskan cara mengubah kebijakan untuk mengecualikan image dan melarang semua image lainnya di-deploy.

Google Cloud Konsol

Untuk mengubah kebijakan, lakukan hal berikut:

  1. Kembali ke halaman Binary Authorization di Google Cloud konsol.

    Buka Otorisasi Biner

  2. Klik Edit Policy.

  3. Pilih Disallow All Images.

  4. Di bagian Images exempt from deployment rules, luaskan Image paths.

  5. Klik Add Image Paths.

    Artifact Registry

    Di New image path, tempel jalur berikut dari repositori Artifact Registry:

    us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

  6. Klik Done untuk menyimpan jalur image.

  7. Klik Save Policy.

gcloud

Untuk mengubah kebijakan agar mengizinkan contoh image dari Artifact Registry, lakukan hal berikut:

  1. Ekspor file YAML kebijakan:

    gcloud container binauthz policy export  > /tmp/policy.yaml

  2. Di editor teks, ubah evaluationMode dari ALWAYS_ALLOW menjadi ALWAYS_DENY dan tambahkan image yang dikecualikan ke admissionWhitelistPatterns.

    Untuk mengecualikan contoh image berikut dari Artifact Registry, ubah file YAML kebijakan Anda sebagai berikut:

    admissionWhitelistPatterns:
- namePattern: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_DENY
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/<var>PROJECT_ID</var>/policy

  3. Impor kembali file YAML kebijakan ke Otorisasi Biner:

    gcloud container binauthz policy import /tmp/policy.yaml

REST API

Untuk mengubah kebijakan, lakukan hal berikut:

  1. Buat file teks dengan kebijakan yang diperbarui dalam format JSON:

    cat > /tmp/policy.json << EOM
{
  "name": "projects/${PROJECT_ID}/policy",
  "admissionWhitelistPatterns": [
    {
      "namePattern": "us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0"
    }
  ],
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_DENY",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}
EOM

  2. Kirim kebijakan yang diperbarui ke REST API:

    curl -X PUT \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    --data-binary @/tmp/policy.json  \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

Menguji kebijakan

Untuk menguji kebijakan dengan men-deploy image yang Anda tambahkan ke daftar yang diizinkan Exempt image, lakukan hal berikut:

  1. Deploy image yang dikecualikan ke cluster.

    Google Cloud Konsol

    Deploy image yang dikecualikan:

    1. Buka halaman Clusters GKE di Google Cloud konsol.

      Buka GKE

    2. Klik Deploy.

      Konsol akan meminta Anda memasukkan detail tentang deployment.

    3. Pilih Existing Container Image.

    4. Masukkan jalur image container.

      Artifact Registry

      Untuk men-deploy image dari Artifact Registry, masukkan hal berikut:

      us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

    5. Klik Continue.

    6. Masukkan hello-server di kolom Application Name.

    7. Klik Deploy.

    kubectl

    Artifact Registry

    Deploy image dari Artifact Registry:

    kubectl run hello-server --image us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 --port 8080

  2. Pastikan image diizinkan untuk di-deploy:

    Google Cloud Konsol

    Untuk memastikan bahwa image telah di-deploy, lakukan hal berikut:

    1. Buka halaman GKE.

    Buka GKE

    1. Buka halaman Workloads.

    Workload hello-server akan muncul dengan ikon hijau, yang menunjukkan bahwa workload tersebut sedang berjalan.

    kubectl

    Untuk memastikan bahwa image diizinkan untuk di-deploy, masukkan perintah berikut:

    kubectl get pods

    Anda akan melihat image sedang berjalan.

  3. Hapus pod.

    Google Cloud Konsol

    Di halaman Workloads GKE:

    1. Pilih workload hello-server.

    2. Klik Delete.

    3. Saat diminta untuk menghapus resource, klik Delete.

    kubectl 

    kubectl delete pod hello-server

Pembersihan

Agar akunAnda tidak dikenai biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut. Google Cloud

Hapus cluster yang Anda buat di GKE:

Konsol

Untuk menghapus cluster, lakukan hal berikut:

  1. Buka halaman Clusters GKE di Google Cloud konsol.

    Buka GKE

  2. Pilih cluster test-cluster, lalu klik Delete.

gcloud

Untuk menghapus cluster, masukkan perintah berikut:

gcloud container clusters delete \
    --zone=us-central1-a \
    test-cluster

Langkah berikutnya