Configurar para clusters no local

Este documento mostra como configurar a autorização binária para clusters no local criados como parte do Google Distributed Cloud. Em seguida, mostraremos como configurar uma política de autorização binária de amostra.

Antes de começar

  1. Verifique se os clusters têm uma versão compatível do Google Distributed Cloud. A autorização binária é compatível com os ambientes a seguir.

    Bare Metal

    Google Distributed Cloud 1.14 ou 1.15. Para a versão 1.16 ou mais recente, a autorização binária pode ser configurada durante a criação ou atualização do cluster.

    VMware

    Distributed Cloud for VMware (Google Distributed Cloud) 1.4 ou mais recente.

  2. O serviço de autorização binária usa um endereço IP externo, acessível com uma conexão de Internet normal. Configure suas regras de firewall para HTTPS para permitir que o cluster de usuário acesse o endpoint binaryauthorization.googleapis.com.

    Bare Metal

    Configure as regras de firewall do Google Distributed Cloud.

    VMware

    Configure as regras de firewall do Google Distributed Cloud.

  3. Se você quiser usar os registros de auditoria do Cloud centralizados para visualizar as entradas de registro de auditoria, incluindo as da autorização binária para clusters fora do Google Cloud, configure os registros de auditoria do Cloud na configuração do cluster.

    Bare Metal

    Configure os Registros de auditoria do Cloud no Google Distributed Cloud.

    VMware

    Configure os Registros de auditoria do Cloud no Google Distributed Cloud.

  4. É necessário ativar a API Binary Authorization da seguinte maneira:

    1. Acesse o console do Google Cloud .

      Ative as APIs

    2. Na lista suspensa de projetos, selecione o projeto host da frota. É possível encontrar isso na Seção gkeConnect do arquivo de configuração do cluster de usuário. Este é o projeto Google Cloud que conecta o cluster de usuário ao Google Cloud.

Configurar a autorização binária

Nesta seção, você vai configurar a autorização binária no cluster local.

Especificar as variáveis de ambiente de instalação

Para especificar as variáveis de ambiente:

Como usar a Identidade da carga de trabalho

  1. Especifique o projeto host da frota:

    export PROJECT_ID=PROJECT_ID

  2. Defina o ID do participante da frota como o ID do cluster:

    O ID do participante é listado na coluna NAME quando você executa comando gcloud container fleet memberships list.

    export MEMBERSHIP_ID=CLUSTER_NAME

Como usar a chave da conta de serviço

  1. Especifique o projeto host da frota:

    export PROJECT_ID=PROJECT_ID

    Substitua PROJECT_ID pelo projeto Google Cloud na seção gkeConnect do arquivo de configuração do cluster de usuário.

  2. Especifique o caminho do arquivo kubeconfig do cluster de usuário:

    export KUBECONFIG=PATH

    Substitua PATH pelo caminho do arquivo kubeconfig do cluster de usuário.

  3. Escolha um nome para a conta de serviço de acesso da API Binary Authorization:

    export SA_NAME=SERVICE_ACCOUNT_NAME

    Substitua SERVICE_ACCOUNT_NAME pelo nome da conta de serviço de sua escolha. O módulo de autorização binária usa essa conta de serviço para acessar a API Binary Authorization.

  4. Especifique o caminho para o arquivo de chave da conta de serviço que você fará o download posteriormente neste guia:

    export SA_JSON_PATH=SA_KEY_FILE_PATH

    Substitua SA_KEY_FILE_PATH pelo caminho do arquivo de chave JSON para a conta de serviço.

Instalar o módulo de autorização binária no cluster de usuário

Para instalar o módulo de autorização binária:

Como usar a Identidade da carga de trabalho

A Identidade da carga de trabalho da frota permite que as cargas de trabalho no seu cluster sejam autenticadas no Google sem que você precise fazer o download, alternar manualmente e gerenciar as chaves da conta de serviço. Google Cloud Saiba mais sobre como a Identidade da carga de trabalho da frota funciona e as vantagens de usá-la em Usar a Identidade da carga de trabalho da frota.

  1. Conceda o papel binaryauthorization.policyEvaluator para a conta de serviço do Kubernetes no projeto host da frota:

    gcloud projects add-iam-policy-binding ${PROJECT_ID} \     --member="serviceAccount:${PROJECT_ID}.svc.id.goog[binauthz-system/binauthz-admin]" \     --role="roles/binaryauthorization.policyEvaluator"

  2. Crie um diretório de trabalho:

    1. Crie um diretório chamado binauthz.

    2. Altere para o diretório.

  3. Faça o download do arquivo manifest-wi-0.2.6.yaml.tmpl que você usa para instalar o Módulo de autorização binária no seu usuário cluster:

    Bare Metal 

    gcloud storage cp gs://anthos-baremetal-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .

    VMware 

    gcloud storage cp gs://gke-on-prem-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .

  4. Substitua as variáveis de ambiente no modelo:

    envsubst < manifest-wi-0.2.6.yaml.tmpl > manifest-0.2.6.yaml

  5. Instale o módulo de autorização binária no cluster de usuário:

    kubectl apply -f manifest-0.2.6.yaml

  6. Verifique se a implantação foi criada:

    kubectl get pod --namespace binauthz-system

    Você verá o pod binauthz-module-deployment-* listado com Status Running e 1/1 pods prontos, semelhante a esta saída:

    NAME                                          READY   STATUS    RESTARTS   AGE binauthz-module-deployment-5fddf9594f-qjprz   1/1     Running   0          11s

Como usar a chave da conta de serviço

  1. Defina o projeto padrão para a Google Cloud CLI:

    gcloud config set project ${PROJECT_ID}

  2. Crie uma conta de serviço de acesso da API Binary Authorization:

    gcloud iam service-accounts create ${SA_NAME}

  3. Conceda o papel binaryauthorization.policyEvaluator para a conta de serviço de acesso da API de autorização binária no projeto host da frota:

    gcloud projects add-iam-policy-binding ${PROJECT_ID}\     --member="serviceAccount:${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \     --role="roles/binaryauthorization.policyEvaluator"

  4. Crie um diretório de trabalho:

    1. Crie um diretório chamado binauthz.

    2. Altere para o diretório.

  5. Faça o download do arquivo manifest-0.2.6.yaml que você usa para instalar o Módulo de autorização binária no seu usuário cluster:

    Bare Metal 

    gcloud storage cp gs://anthos-baremetal-release/binauthz/manifest-0.2.6.yaml .

    VMware 

    gcloud storage cp gs://gke-on-prem-release/binauthz/manifest-0.2.6.yaml .

  6. Crie um arquivo YAML para o namespace binauthz-system.

    Salve o seguinte em um arquivo chamado namespace.yaml:

    apiVersion: v1 kind: Namespace metadata:   labels:     control-plane: binauthz-controller   name: binauthz-system

  7. Configure o namespace no cluster de usuário:

    kubectl apply -f namespace.yaml

    Você verá uma saída semelhante a esta:

    namespace/binauthz-system created

  8. Faça o download de um arquivo de chave JSON para essa conta de serviço;

    gcloud iam service-accounts keys create ${SA_JSON_PATH} --iam-account ${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

  9. Salve a chave da conta de serviço como um secret do Kubernetes no cluster de usuário:

    kubectl --namespace binauthz-system create secret generic binauthz-sa --from-file=key.json=${SA_JSON_PATH}

  10. Instale o módulo de autorização binária no cluster de usuário:

    kubectl apply -f manifest-0.2.6.yaml

  11. Verifique se a implantação foi criada:

    kubectl get pod --namespace binauthz-system

    Você verá o pod binauthz-module-deployment-* listado com Status Running e 1/1 pods prontos, semelhante a esta saída:

    NAME                                          READY   STATUS    RESTARTS   AGE binauthz-module-deployment-5fddf9594f-qjprz   1/1     Running   0          11s

Configurar e usar políticas de autorização binária

Nesta seção, mostramos como configurar e usar políticas de autorização binária para clusters no local.

Em cada exemplo, configure a política e, em seguida, teste-a tentando implantar uma imagem de contêiner no cluster do GKE.

Permitir todos

Esta seção demonstra um caso de sucesso. Configure a política de autorização binária para que uma imagem de contêiner atenda à política e seja implantada.

Em Google Cloud, faça o seguinte:

Console

  1. No Google Cloud console, acesse a página "Autorização binária".

    Acesse Autorização binária

  2. Selecione o ID do projeto host da frota.

  3. Clique em Editar política.

  4. Em Regra padrão do projeto, selecione Permitir todas as imagens.

  5. Clique em Save Policy.

gcloud

  1. Definir o PROJECT_ID do host da frota sobre o projeto. Esse ID do projeto está no campo gkeConnect no arquivo de configuração do cluster de usuário.

    export PROJECT_ID=PROJECT_ID

    Defina o projeto Google Cloud padrão.

    gcloud config set project ${PROJECT_ID}

  2. Exporte o arquivo YAML da política para o sistema local:

    gcloud container binauthz policy export  > policy.yaml

    Seu arquivo YAML tem a seguinte aparência:

    defaultAdmissionRule:   enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG   evaluationMode: ALWAYS_ALLOW globalPolicyEvaluationMode: ENABLE name: projects/<var>PROJECT_ID</var>/policy

  3. Editar policy.yaml.

  4. Defina evaluationMode como ALWAYS_ALLOW.

  5. Se você tiver um bloco requireAttestationsBy no arquivo, exclua-o.

  6. Salve o arquivo.

  7. Importe policy.yaml da seguinte maneira:

    gcloud container binauthz policy import policy.yaml

Para adicionar uma imagem isenta à lista de permissões, inclua o seguinte no arquivo de política: 

admissionWhitelistPatterns:   - namePattern: EXEMPT_IMAGE_PATH

Substitua EXEMPT_IMAGE_PATH pelo caminho para a imagem a ser isentada. Para isentar outras imagens, adicione outras entradas - namePattern. Saiba mais sobre admissionWhitelistPatterns.

Na estação de trabalho do administrador, faça o seguinte:

  1. Crie um arquivo de manifesto para um pod.

    Salve o seguinte em um arquivo chamado pod.yaml:

    apiVersion: v1 kind: Pod metadata:   name: test-pod spec:   containers:   - name: test-container     image: us-docker.pkg.dev/google-samples/containers/gke/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4

  2. Crie o pod:

    kubectl apply -f pod.yaml

    Você verá que o pod foi implantado com sucesso.

  3. Exclua o pod:

    kubectl delete -f pod.yaml

Não permitir todos

Nesta seção, demonstramos um caso de falha. Nesta seção, você configurará a política padrão para proibir a implantação da imagem do contêiner.

Em Google Cloud faça o seguinte:

Console

  1. No Google Cloud console, acesse a página "Autorização binária".

    Acesse Autorização binária

  2. Verifique se o projeto host da frota está selecionado.

  3. Clique em Editar política.

  4. Em Regra padrão do projeto, selecione Não permitir todas as imagens.

  5. Clique em Salvar política.

gcloud

  1. Defina o PROJECT_ID como seu ID do projeto host da frota.

    export PROJECT_ID=PROJECT_ID

  2. Defina o projeto Google Cloud padrão.

    gcloud config set project ${PROJECT_ID}

  3. Exporte o arquivo YAML da política:

    gcloud container binauthz policy export  > policy.yaml

  4. Editar policy.yaml.

  5. Defina evaluationMode como ALWAYS_DENY.

  6. Se você tiver um bloco requireAttestationsBy no arquivo, exclua-o.

  7. Salve o arquivo.

  8. Importe policy.yaml da seguinte maneira:

    gcloud container binauthz policy import policy.yaml

Na estação de trabalho do administrador, faça o seguinte:

  1. Crie um arquivo de manifesto para um pod.

    Salve o seguinte em um arquivo chamado pod.yaml:

    apiVersion: v1 kind: Pod metadata:   name: test-pod spec:   containers:   - name: test-container     image: us-docker.pkg.dev/google-samples/containers/gke/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4

  2. Crie o pod:

    kubectl apply -f pod.yaml

    Você verá que a implantação do pod foi bloqueada. A saída será assim:

    Error from server (VIOLATES_POLICY): error when creating "pod.yaml": admission webhook "binaryauthorization.googleapis.com" denied the request: Denied by default admission rule. Overridden by evaluation mode

Conseguir o ID do recurso do cluster de usuário

Nesta seção, mostramos como compor o ID de recurso do cluster de usuário. Na sua política de autorização binária, é possível criar regras específicas do cluster. Você associa essas regras a um ID de recurso específico do cluster, que é baseado no ID do cluster.

Você consegue o ID do recurso da seguinte maneira:

Console

  1. No Google Cloud console, acesse a página Clusters do GKE.

    Acessar Clusters

  2. Selecione o ID do projeto host da frota para seus clusters. Esse ID do projeto está na seção gkeConnect do arquivo de configuração do cluster de usuário.

  3. Na lista de clusters, encontre o ID do cluster em Nome .

  4. Para criar o ID do recurso, adicione o prefixo global. ao ID do cluster para que o ID tenha este formato: global.CLUSTER_ID.

gcloud

  1. Use SSH para se conectar à estação de trabalho do administrador.

  2. Na estação de trabalho de administrador, execute o seguinte comando:

    kubectl get membership -o yaml

  3. Encontre o ID do cluster no campo spec.owner.id da saída. Exemplo de saída:

    apiVersion: v1 items: - apiVersion: hub.gke.io/v1   kind: Membership   ...   spec:     owner:       id: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/my-cluster-id

    No exemplo de saída, o ID do cluster é my-cluster-id.

  4. Para criar o ID do recurso, adicione o prefixo global. ao ID do cluster. No exemplo, o ID do recurso é global.my-cluster-id.

Use esse ID de recurso ao definir regras específicas do cluster. Saiba como definir regras específicas do cluster usando o console doGoogle Cloud ou a CLI gcloud.

Atualizar a política de falhas

O webhook do módulo de autorização binária pode ser configurado para falha ao abrir ou falha ao fechar.

Falha ao fechar

Para atualizar a política de falha para que ela falhe ao fechar, faça o seguinte:

  1. Dite o arquivo manifest-0.2.6.yaml e defina failPolicy como Fail.

  2. Reative o webhook:

    kubectl apply -f manifest-0.2.6.yaml

    Você verá uma saída semelhante a esta:

    serviceaccount/binauthz-admin unchanged role.rbac.authorization.k8s.io/binauthz-role configured clusterrole.rbac.authorization.k8s.io/binauthz-role configured rolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged clusterrolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged secret/binauthz-tls unchanged service/binauthz unchanged deployment.apps/binauthz-module-deployment unchanged validatingwebhookconfiguration.admissionregistration.k8s.io/binauthz-validating-webhook-configuration configured

Fail open

Para atualizar a política de falha para que ela falhe ao abrir, faça o seguinte:

  1. Dite o arquivo manifest-0.2.6.yaml e defina failPolicy como Ignore.

  2. Reative o webhook:

    kubectl apply -f manifest-0.2.6.yaml

    Você verá uma saída semelhante a esta:

    serviceaccount/binauthz-admin unchanged role.rbac.authorization.k8s.io/binauthz-role configured clusterrole.rbac.authorization.k8s.io/binauthz-role configured rolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged clusterrolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged secret/binauthz-tls unchanged service/binauthz unchanged deployment.apps/binauthz-module-deployment unchanged validatingwebhookconfiguration.admissionregistration.k8s.io/binauthz-validating-webhook-configuration configured

Para saber mais, consulte a política de falha do webhook.

Limpar

  1. O exemplo de código a seguir mostra como desativar o webhook:

    kubectl delete ValidatingWebhookConfiguration/binauthz-validating-webhook-configuration

  2. O exemplo de código a seguir mostra como reativar o webhook:

    kubectl apply -f manifest-0.2.6.yaml

  3. O exemplo de código a seguir mostra como excluir todos os recursos relacionados à autorização binária:

    kubectl delete -f manifest-0.2.6.yaml kubectl delete namespace binauthz-system

A seguir