認證總覽

本指南說明如何建立及使用二進位授權認證。建構容器映像檔後,即可建立認證,確認映像檔已執行必要活動,例如迴歸測試、安全漏洞掃描或其他測試。認證是透過簽署映像檔的專屬摘要建立。

在部署期間,二進位檔授權會使用驗證者驗證認證,而不是重複執行活動。如果映像檔的所有認證都通過驗證,二進位授權就會允許部署該映像檔。

事前準備

  1. 啟用二進位授權

  2. 使用下列其中一項產品設定二進位授權:

Cloud Service Mesh 使用者只需要設定二進位授權政策。如要這麼做,請參閱本指南稍後的「設定政策」。

建立驗證者

如要使用認證,請先建立認證者。 在部署時,二進位授權會使用驗證者來驗證與容器映像檔相關聯的認證。

您可以使用下列方法建立認證者:

設定政策規則,要求提供認證

本節說明如何設定政策,要求提供認證。

GKE

Cloud Run

使用下列其中一種方法,將預設規則設為需要認證:

Distributed Cloud

Cloud Service Mesh

Cloud Service Mesh 使用者可以建立規則 (包括需要認證的規則),並將規則範圍限定為網格服務身分、Kubernetes 服務帳戶或 Kubernetes 命名空間。

如要設定特定規則,請使用下列方法:

建立認證

認證是由簽署者建立。 建立認證的程序也稱為「簽署映像檔」。 簽署者可以是手動建立認證的人員。或者,簽署者也可以是自動化服務。如需建立認證的不同方法,請參閱下列頁面:

部署映像檔

建立認證後,即可部署相關聯的映像檔。

GKE

使用 GKE 部署映像檔

Cloud Run

使用 Cloud Run 部署映像檔

Distributed Cloud

使用 Distributed Cloud 部署映像檔

Cloud Service Mesh

儲存政策後,系統會立即對 Cloud Service Mesh 工作負載強制執行政策。

後續步驟