如何启用 Binary Authorization

如需为 GKE on AWS 启用 Binary Authorization，请执行以下步骤：

1. 在您的项目中启用 Binary Authorization API：

   gcloud services enable binaryauthorization.googleapis.com \
     --project=PROJECT_ID
   

   将 PROJECT_ID 替换为您的 Google Cloud 项目的 ID。

2. 将 binaryauthorization.policyEvaluator 角色授予与 Binary Authorization 代理关联的 Kubernetes 服务账号：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
     --role="roles/binaryauthorization.policyEvaluator"
   

3. 创建或更新集群时启用 Binary Authorization。请务必添加 --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE 标志，因为此标志会启用 Binary Authorization：

   创建集群

   gcloud container aws clusters create CLUSTER_NAME \
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   将 CLUSTER_NAME 替换为您的集群名称。

   更新集群

   gcloud container aws clusters update CLUSTER_NAME \
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   将 CLUSTER_NAME 替换为您的集群名称。

通过执行以下步骤，您可以确保仅使用受信任且经过验证的映像在 GKE 集群中创建 Kubernetes 容器。这有助于为您的应用维护安全的环境。