Diese Seite wurde von der Cloud Translation API übersetzt.

Durchsetzung von Richtlinien für die Binärautorisierung einrichten

Die Binärautorisierung für Google Distributed Cloud ist ein Google Cloud-Feature, mit dem die gehostete Erzwingung der Binärautorisierung bei der Bereitstellung auf Ihre lokalen Nutzercluster erweitert wird. Der primäre Anwendungsfall für die Binärautorisierung in Google Distributed Cloud besteht darin, Arbeitslasten in Ihren Nutzerclustern zu sichern. Folgen Sie den Schritten in dieser Anleitung, um die Erzwingungsregeln einer Richtlinie für die Binärautorisierung, die in Ihrem Google Cloud-Projekt konfiguriert ist, auf Ihre Nutzercluster anzuwenden. Weitere Informationen zu Richtlinien und Regeln für die Binärautorisierung finden Sie in der Übersicht zur Binärautorisierung.

Vorbereitung

Bevor Sie die Erzwingung von Richtlinien für die Binärautorisierung für einen Nutzercluster aktivieren können, müssen die folgenden Voraussetzungen erfüllt sein:

Cluster bei einer Flotte registrieren: Bei einem Cluster, der mit gkectl erstellt wurde, ist der Cluster bei dem Google Cloud-Projekt registriert, das Sie in der Clusterkonfigurationsdatei im Feld gkeConnect.projectID angeben. Dieses Projekt wird als Flotten-Hostprojekt bezeichnet. Weitere Informationen zu Flotten, einschließlich Anwendungsfällen, Best Practices und Beispielen, finden Sie in der Dokumentation zur Flottenverwaltung.
Aktivieren Sie die Binary Authorization API in Ihrem Google Cloud-Projekt:Aktivieren Sie den Binärautorisierungsdienst in Ihrem Flotten-Hostprojekt.
Fügen Sie Ihrem Flotten-Hostprojekt die Rolle „Binärautorisierung Policy Evaluator“ hinzu: Führen Sie den folgenden Befehl aus, um dem Kubernetes-Dienstkonto in Ihrem Flotten-Hostprojekt die Rolle „Bi Authorization Policy Evaluator“ (roles/binaryauthorization.policyEvaluator) zuzuweisen:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \
    --role="roles/binaryauthorization.policyEvaluator"
```
Wenn Ihr Cluster hinter einem Proxyserver ausgeführt wird, muss der Proxyserver Verbindungen zur Binary Authorization API (binaryauthorization.googleapis.com) zulassen. Diese API ermöglicht eine richtlinienbasierte Deployment-Validierung und -Steuerung für Images, die in Ihrem Cluster bereitgestellt werden. Weitere Informationen finden Sie unter Proxy für Proxy- und Firewallregeln.

Wenn Sie die Voraussetzungen erfüllen, können Sie die Richtlinie zur Binärautorisierung aktivieren oder deaktivieren, wenn Sie einen neuen Cluster erstellen oder einen vorhandenen aktualisieren.

Richtlinie zur Binärautorisierung während der Clustererstellung aktivieren

Sie können die Durchsetzung der Richtlinie zur Binärautorisierung mit gkectl oder der gcloud CLI aktivieren.

`gkectl`

So aktivieren Sie die Binärautorisierung beim Erstellen eines Clusters mit gkectl:

Bevor Sie den Cluster erstellen, fügen Sie der Konfigurationsdatei des Nutzerclusters binaryAuthorization.evaluationMode hinzu, wie im folgenden Beispiel gezeigt:
```
...
binaryAuthorization:
  evaluationMode: "project_singleton_policy_enforce"
...
```
Zulässige Werte für evaluationMode sind:
- project_singleton_policy_enforce: Erzwingt die in der Richtlinie zur Binärautorisierung angegebenen Regeln in Ihrem Google Cloud-Projekt, die auch als Projekt-Singleton-Richtlinie bezeichnet werden, um das Deployment von Container-Images in Ihrem Cluster zu steuern.
- disabled: deaktiviert die Binärautorisierung für Ihren Cluster. Dies ist der Standardwert. Wenn Sie binaryAuthorization weglassen, wird das Feature deaktiviert.
Nehmen Sie alle anderen erforderlichen Änderungen in der Clusterkonfigurationsdatei vor und führen Sie dann den Befehl gkectl create cluster aus.

Weitere Informationen zum Erstellen von Clustern finden Sie in der Übersicht zur Google Distributed Cloud-Installation.

Richtlinie zur Binärautorisierung für einen vorhandenen Cluster aktivieren oder deaktivieren

Wenn Sie bereits einen Cluster der Version 1.28 oder höher haben, können Sie die Binärautorisierung jederzeit über gkectl oder die gcloud CLI aktivieren oder deaktivieren.

`gkectl`

So aktivieren Sie die Funktion:
1. Fügen Sie der Clusterkonfigurationsdatei die Felder binaryAuthorization hinzu:
```
...
binaryAuthorization:
  evaluationMode: "project_singleton_policy_enforce"
```
2. Aktualisieren Sie den Cluster:
```
gkectl update cluster \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --config USER_CLUSTER_CONFIG_FILE \
  --force
```
  Ersetzen Sie Folgendes:
  - ADMIN_CLUSTER_KUBECONFIG: der Pfad der kubeconfig-Datei des Administratorclusters
  - USER_CLUSTER_CONFIG_FILE: der Pfad zur Konfigurationsdatei des Nutzerclusters.
3. Warten Sie, bis das Deployment mit dem Namen binauthz-module-deployment im Namespace binauthz-system bereit ist.
  
  Wenn das Deployment bereit ist, erzwingt die Binärautorisierung die in der Richtlinie zur Binärautorisierung angegebenen Regeln, die auch als Projekt-Singleton-Richtlinie bezeichnet werden. Diese Richtlinie ist mit Ihrem Google Cloud-Projekt verknüpft und definiert Regeln zur Steuerung der Bereitstellung von Container-Images. Weitere Informationen zur Verwendung von gkectl zum Aktualisieren eines Clusters finden Sie unter Cluster aktualisieren. Weitere Informationen zu Richtlinien und Regeln zur Binärautorisierung finden Sie in der Übersicht zur Binärautorisierung.
So deaktivieren Sie die Funktion:
1. Bearbeiten Sie die Clusterkonfigurationsdatei und entfernen Sie entweder den Abschnitt binaryAuthorization oder legen Sie evaluationMode auf disabled fest.
```
...
binaryAuthorization:
  evaluationMode: "disabled"
```
2. Aktualisieren Sie den Cluster:
```
gkectl update cluster \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --config USER_CLUSTER_CONFIG_FILE \
  --force
```
Warten Sie nach dieser Änderung einige Minuten, bis das Deployment mit dem Namen binauthz-module-deployment im Namespace binauthz-system entfernt wurde.

Fehlerbehebung

Wenn Sie nicht alle Voraussetzungen erfüllen, wird möglicherweise eine Meldung wie die folgende angezeigt, die auf ein Problem mit der Konfiguration der Binärautorisierung hinweist:

failed to validate Binary Authorization policy

(1) Ensure the Binary Authorization API is enabled for your Google Cloud project:
    gcloud services enable binaryauthorization.googleapis.com --project=PROJECT_ID
(2) Ensure an IAM policy binding is in place granting binaryauthorization.policyEvaluator role to the binauthz-system/binauthz-agent Kubernetes service account:
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \
        --role=roles/binaryauthorization.policyEvaluator