Question#41(Professional Cloud Developer)

ecom-web-app というアプリケーションが、dev、qa、prod（本番）という 3 つの GKE クラスターにデプロイされています。Google 推奨のプラクティスに従い、本番クラスター（ecom-web-app-prod）にのみ、信頼されたコンテナイメージがデプロイされるように制限をかける必要があります。あなたは何をすべきですか？

A. Binary Authorization（バイナリ認証）をセットアップし、ポリシー YAML ファイルの clusterAdmissionRules ノードでクラスター固有のルールを定義する。
B. Binary Authorization をセットアップし、ecom-web-app-prod クラスターにデプロイされないコンテナイメージをすべて「免除（exempt）」に設定する。
C. Artifact Registry 内のイメージをスキャンして脆弱性を検出し、スキャンに失敗したバージョンを「信頼できない」とタグ付けするイメージ検証プロセスをセットアップする。
D. Cloud Build でイメージがビルドされた際に呼び出される Cloud Functions を使用して、信頼されたイメージのみが Artifact Registry に保存されるようにするイメージ検証プロセスをセットアップする。

正解と解説ディスカッション 0

正解：A

GKE で「信頼されたイメージのみをデプロイ可能にする」ための Google Cloud 公式かつ標準的なソリューションは Binary Authorization（バイナリ認証） です。

なぜ A が正解なのか？

デプロイ時の強制力: Binary Authorization は、kubectl apply や CI/CD パイプラインが Pod を作成しようとする際、そのイメージがポリシー（署名など）を満たしているかをチェックし、満たしていない場合はデプロイそのものをブロックします。
クラスター固有のルール: 今回の要件は「prod クラスターのみ」に制限をかけることです。Binary Authorization のポリシー構成には clusterAdmissionRules という項目があり、特定のクラスターごとに異なる承認ルール（特定の署名が必要など）を適用できます。
Google 推奨プラクティス: 「信頼されたイメージのみ」という要件に対して、単純なスキャンやタグ付け（C, D）ではなく、暗号署名に基づくデプロイ制御を行うことが最も安全なアプローチとされています。

Question#41(Professional Cloud Developer)

なぜ A が正解なのか？

コメント

コメント

コメントするコメントをキャンセル

なぜ A が正解なのか？

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル