Question#20(Professional Cloud Developer)
あなたはコンテナ優先(container-first)のアプローチを採用している金融サービス企業で働いています。あなたのチームはマイクロサービス アプリケーションを開発しています。コンテナ イメージを作成し、回帰テストを実行し、イメージを Artifact Registry に公開する Cloud Build パイプラインがあります。
回帰テストに合格したコンテナのみが GKE クラスターにデプロイされるようにする必要があります。GKE クラスターではすでに Binary Authorization を有効にしています。次に何をすべきですか?
正解:C
Binary Authorization の仕組みを完成させるには、「ポリシーの定義」と「信頼の証拠(構成証明)」の作成が必要です。
なぜ C が正解なのか?
Binary Authorization の基本構造: このサービスは「特定の条件を満たしたイメージのみデプロイを許可する」仕組みです。そのためには、まず「誰が許可を出すか(承認者:Attestor)」と「どのようなルールでチェックするか(ポリシー)」を定義する必要があります。
構成証明(Attestation)の役割: 回帰テストに合格したという事実を、デジタル署名された「構成証明」として記録します。Cloud Build パイプラインの最後にこの証明を作成するステップを追加することで、テスト済みのイメージであることを証明できます。
デプロイ時の検証: GKE クラスターはデプロイ時にこの「構成証明」を確認し、有効な証明がない(=テストをパスしていない)イメージのデプロイを拒否します。
コメント