Configura l'applicazione dei criteri di Autorizzazione binaria

Autorizzazione binaria per GKE su Bare Metal è una funzionalità di Google Cloud che estende l'applicazione ospitata e in fase di deployment dell'Autorizzazione binaria ai cluster on-premise. Il caso d'uso principale di Autorizzazione binaria su GKE su Bare Metal è la protezione dei carichi di lavoro, ma Autorizzazione binaria funziona con tutti i tipi di cluster. Segui i passaggi in questa guida per applicare ai tuoi cluster le regole di applicazione di un criterio di Autorizzazione binaria configurato nel tuo progetto Google Cloud. Per ulteriori informazioni sui criteri e sulle regole di Autorizzazione binaria, consulta la panoramica di Autorizzazione binaria.

Prerequisiti

Prima di poter abilitare l'applicazione dei criteri di Autorizzazione binaria per un cluster, assicurati di soddisfare i seguenti criteri dei prerequisiti:

  • Registra il cluster con un parco risorse: un cluster creato con bmctl, il cluster è registrato nel progetto Google Cloud specificato nel campo gkeConnect.projectID del file di configurazione del cluster. Questo progetto è denominato progetto host del parco risorse. Per scoprire di più sui parchi risorse, inclusi casi d'uso, best practice ed esempi, consulta la documentazione sulla gestione del parco risorse.

  • Abilita l'API Binary Authorization nel progetto Google Cloud:abilita Autorizzazione binaria Authorization nel progetto host del parco risorse.

  • Aggiungi il ruolo Valutatore criteri di autorizzazione binaria al progetto host del parco risorse: per concedere il ruolo Valutatore criteri di autorizzazione binaria (roles/binaryauthorization.policyEvaluator) all'account di servizio Kubernetes nel progetto host del parco risorse, esegui questo comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \
        --role="roles/binaryauthorization.policyEvaluator"
    

    Se il cluster viene eseguito dietro un server proxy, assicurati che il server proxy consenta le connessioni all'API Binary Authorization (binaryauthorization.googleapis.com). Questa API fornisce la convalida e il controllo del deployment basati su criteri per le immagini di cui è stato eseguito il deployment nel cluster. Per ulteriori informazioni sull'utilizzo di una configurazione proxy, consulta Installazione tramite proxy.

Una volta soddisfatti i prerequisiti, puoi abilitare (o disabilitare) il criterio di Autorizzazione binaria quando crei un nuovo cluster o aggiorni un cluster esistente.

Abilita il criterio di Autorizzazione binaria durante la creazione del cluster

Puoi abilitare l'applicazione dei criteri di Autorizzazione binaria con bmctl o con gcloud CLI.

bmctl

Per abilitare Autorizzazione binaria quando crei un cluster con bmctl:

  1. Prima di creare il cluster, aggiungi spec.binaryAuthorization.evaluationMode al file di configurazione del cluster come mostrato nell'esempio seguente:

    ...
    ---
    apiVersion: baremetal.cluster.gke.io/v1
    kind: Cluster
    metadata:
      name: user-basic
      namespace: cluster-user-basic
    spec:
      type: user
      ...
      binaryAuthorization:
        evaluationMode: "PROJECT_SINGLETON_POLICY_ENFORCE"
    

    I valori consentiti per evaluationMode sono:

    • PROJECT_SINGLETON_POLICY_ENFORCE: applica le regole specificate nel criterio di Autorizzazione binaria, noto anche come criterio singleton di progetto, sul tuo progetto Google Cloud per gestire il deployment delle immagini container sul tuo cluster.

    • DISABLE: disabilita l'utilizzo di Autorizzazione binaria per il cluster. Questo è il valore predefinito. Se ometti binaryAuthorization, la funzionalità viene disattivata.

  2. Apporta eventuali altre modifiche necessarie al file di configurazione del cluster, quindi esegui il comando bmctl create cluster.

Per saperne di più sulla creazione dei cluster, consulta Panoramica della creazione del cluster.

Interfaccia a riga di comando gcloud

  • Per creare un cluster utente e abilitare Autorizzazione binaria, aggiungi il flag --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE quando esegui il comando gcloud container bare-metal clusters create.

    Viene così creato un cluster utente che applica le regole specificate nel criterio di Autorizzazione binaria, noto anche come criterio singolo progetto. Questo criterio è associato al progetto Google Cloud e specifica le regole per gestire il deployment delle immagini container. Per ulteriori informazioni sull'utilizzo di gcloud CLI per creare un cluster utente, consulta Creare un cluster utente utilizzando i client API GKE On-Prem. Per ulteriori informazioni sui criteri e sulle regole di Autorizzazione binaria, consulta la panoramica di Autorizzazione binaria.

Abilita o disabilita il criterio di Autorizzazione binaria per un cluster esistente

Se hai già un cluster versione 1.16 o successiva, puoi abilitare o disabilitare Autorizzazione binaria in qualsiasi momento utilizzando bmctl o gcloud CLI.

bmctl

  • Per abilitarla:

    1. Modifica il file di configurazione del cluster per aggiungere i campi binaryAuthorization:

      ...
      ---
      apiVersion: baremetal.cluster.gke.io/v1
      kind: Cluster
      metadata:
        name: user-basic
        namespace: cluster-user-basic
      spec:
        type: user
        ...
        binaryAuthorization:
          evaluationMode: "PROJECT_SINGLETON_POLICY_ENFORCE"
      
    2. Aggiorna il cluster:

      bmctl update cluster -c CLUSTER_NAME --admin-kubeconfig=CLUSTER_KUBECONFIG
      

      Sostituisci quanto segue:

      • CLUSTER_NAME: il nome del cluster da aggiornare.
      • CLUSTER_KUBECONFIG: il percorso del file kubeconfig del cluster.
    3. Attendi che il deployment denominato binauthz-module-deployment nello spazio dei nomi binauthz-system sia pronto.

      Quando il deployment è pronto, Autorizzazione binaria applica le regole specificate nel criterio di Autorizzazione binaria, noto anche come criterio progetto singleton. Questo criterio è associato al tuo progetto Google Cloud e specifica le regole per gestire il deployment delle immagini container. Per ulteriori informazioni sull'utilizzo di bmctl per aggiornare un cluster, consulta Aggiornare i cluster. Per ulteriori informazioni sui criteri e sulle regole di Autorizzazione binaria, consulta Panoramica di Autorizzazione binaria.

  • Per disattivare:

    Questa funzionalità può essere disattivata impostando evaluationMode su DISABLED o rimuovendo la sezione binaryAuthorization dalle specifiche del cluster. Dopo questa modifica, attendi qualche minuto finché il deployment denominato binauthz-module-deployment nello spazio dei nomi binauthz-system non viene rimosso.

Interfaccia a riga di comando gcloud

  • Per abilitare Autorizzazione binaria per un cluster esistente, aggiungi il flag --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE quando esegui il comando gcloud container bare-metal clusters update.

    Questa operazione aggiorna un cluster utente in modo che Autorizzazione binaria applichi le regole specificate nel criterio di Autorizzazione binaria, noto anche come criterio singleton di progetto. Questo criterio è associato al tuo progetto Google Cloud e specifica le regole per gestire il deployment delle immagini container. Per ulteriori informazioni sull'utilizzo di gcloud CLI per aggiornare un cluster utente, consulta gcloud container bare-metal clusters update nel riferimento a gcloud CLI. Per ulteriori informazioni sui criteri e sulle regole di Autorizzazione binaria, consulta la panoramica di Autorizzazione binaria.

  • Per disabilitare Autorizzazione binaria per un cluster esistente, esegui il comando gcloud container bare-metal clusters update con il flag --binauthz-evaluation-mode=DISABLED.

Risoluzione dei problemi

Se non completi tutti i prerequisiti, potresti non vedere alcuna indicazione anticipata di un problema. Se Autorizzazione binaria inizia a non rispondere alle richieste di creazione dei pod, controlla se status.conditions è presente il ReplicaSet. Un messaggio come il seguente indica che si è verificato un problema con la configurazione di Autorizzazione binaria:

failed to validate Binary Authorization policy

(1) Ensure the Binary Authorization API is enabled for your Google Cloud project:
    gcloud services enable binaryauthorization.googleapis.com --project=PROJECT_ID
(2) Ensure an IAM policy binding is in place granting binaryauthorization.policyEvaluator role to the binauthz-system/binauthz-agent Kubernetes service account:
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \
        --role=roles/binaryauthorization.policyEvaluator