持续验证概览

使用基于检查的平台政策的持续验证 (CV) 是 Binary Authorization 的一项功能，可让您监控在 Google Kubernetes Engine (GKE) 上运行的 Pod，以确保其关联的容器映像持续符合您指定的 Binary Authorization 基于检查的平台政策。

在 CV 确定 Pod 违反了平台政策时，它会将违规行为记录到 Cloud Logging 中。

使用平台政策的 CV 取代了旧版持续验证（已弃用）。

为何使用 CV？

虽然 Binary Authorization 强制执行会在您部署容器映像时提供一次性映像验证，但 CV 会持续监控与正在运行的 Pod 关联的映像是否始终符合政策。

因此，当您同时启用 Binary Authorization 强制执行和使用基于检查的政策的 CV 时，您可以确保在整个编排生命周期中验证政策合规性。

CV 在以下情况下非常有用：

• 政策更改：当您更新 Binary Authorization 项目单例强制执行政策时，Binary Authorization 仅验证更新后部署的映像。已在运行的 Pod 不受影响。即使使用更新政策的 Binary Authorization 现在会阻止部署同一映像，它们也会继续运行。

  因此，当您更新 Binary Authorization 项目单例政策时，我们还建议您创建或更新 CV 平台政策，以匹配项目单例政策。这样，CV 就会通知您正在运行的 Pod 违反了更新后的政策。

• 监控图片元数据：CV 会对映像元数据中的更改提供特定检查，包括：

  • 证明：Pod 映像上的证明失效时，CV 会记录日志。
  • 新鲜度：CV 会在检测到 Pod 映像不再最新时记录日志。
  • 来源：CV 可以使用可信源代码库中的配置构建配置来检查 Pod 的映像是否是通过可信的构建器构建的。
  • Sigstore 签名：如果 Pod 的映像上缺少有效的 Sigstore 签名，CV 会记录日志。
  • 可信目录：当 Pod 的映像驻留在平台政策中未列出的代码库目录中时，CV 会记录日志。
  • 漏洞：在 Pod 映像中发现漏洞时，CV 会记录日志。

• 试运行监控：启用试运行后，Binary Authorization 会允许部署所有映像。通过启用使用与项目单例政策匹配的平台政策的 CV，CV 会定期记录违反平台政策的映像。

• Breakglass 监控：使用