Membuat cluster

Halaman ini menjelaskan cara membuat cluster di Google Kubernetes Engine (GKE) dengan mengaktifkan Otorisasi Biner. Anda melakukan langkah ini di command line menggunakan perintah gcloud atau di Konsol Google Cloud. Langkah ini adalah bagian dari menyiapkan Otorisasi Biner untuk GKE.

Sebelum memulai

Membuat cluster dengan Otorisasi Biner yang diaktifkan (khusus audit)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standar. Untuk mengonfigurasi mode evaluasi khusus audit, Anda harus menentukan setidaknya satu kebijakan platform.

Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan hanya dengan audit, lakukan langkah berikut:

Konsol

Langkah-langkah berikut akan mengonfigurasi cluster Standar.

  1. Di konsol Google Cloud, buka halaman GKE.

    Buka GKE

  2. Klik Buat Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Enable Binary Authorization.

  5. Pilih Khusus audit dan konfigurasikan kebijakan audit yang Anda inginkan untuk mengevaluasi image cluster dengan Otorisasi Biner.

  6. Klik Create.

gcloud

  1. Setel project Google Cloud default Anda:

    gcloud config set project PROJECT_ID
    

    Ganti PROJECT_ID dengan ID project tempat Anda ingin membuat cluster.

  2. Buat cluster yang hanya menggunakan audit berbasis kebijakan di platform CV:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi—misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan.
    • POLICY_ID: ID kebijakan.
    • CLUSTER_PROJECT_ID: ID project cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID
    

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
        --project=CLUSTER_PROJECT_ID
    

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
        --project=CLUSTER_PROJECT_ID
    

Pembuatan cluster Anda memerlukan waktu beberapa menit.

Buat cluster dengan Otorisasi Biner yang diaktifkan (khusus penerapan)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standar. Kebijakan penerapan disetel ke kebijakan project yang secara default mengizinkan semua image. Untuk mengubah kebijakan project, ikuti petunjuk ini.

Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan hanya dengan penerapan yang diaktifkan, lakukan hal berikut:

Konsol

Langkah-langkah berikut akan mengonfigurasi cluster Standar.

  1. Di konsol Google Cloud, buka halaman GKE.

    Buka GKE

  2. Klik Buat Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Enable Binary Authorization.

  5. Pilih Enforce-only.

  6. Klik Create.

gcloud

  1. Setel project Google Cloud default Anda:

    gcloud config set project PROJECT_ID
    

    Ganti PROJECT_ID dengan ID project tempat Anda ingin membuat cluster.

  2. Buat cluster yang hanya menggunakan penerapan kebijakan:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi—misalnya, us-central1 atau asia-south1.
    • CLUSTER_PROJECT_ID: ID project cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --project=CLUSTER_PROJECT_ID
    

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
        --project=CLUSTER_PROJECT_ID
    

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
        --project=CLUSTER_PROJECT_ID
    

Pembuatan cluster Anda memerlukan waktu beberapa menit.

Membuat cluster dengan Otorisasi Biner yang diaktifkan (audit dan terapkan)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standar.

Kebijakan penerapan disetel ke kebijakan project yang secara default mengizinkan semua image. Untuk mengubah kebijakan project, ikuti petunjuk ini.

Anda dapat mengonfigurasi kebijakan platform audit Anda. Untuk pengauditan, Anda harus menentukan setidaknya satu kebijakan platform.

Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan melalui pengauditan dan penerapan, lakukan hal berikut:

Konsol

Langkah-langkah berikut akan mengonfigurasi cluster Standar.

  1. Di konsol Google Cloud, buka halaman GKE.

    Buka GKE

  2. Klik Buat Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Enable Binary Authorization.

  5. Pilih Audit dan Terapkan, lalu konfigurasikan kebijakan audit.

  6. Klik Create.

gcloud

  1. Setel project Google Cloud default Anda:

    gcloud config set project PROJECT_ID
    

    Ganti PROJECT_ID dengan ID project tempat Anda ingin membuat cluster.

  2. Buat cluster yang menggunakan penerapan kebijakan singleton project dan audit berbasis kebijakan platform CV:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi—misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan.
    • POLICY_ID: ID kebijakan.
    • CLUSTER_PROJECT_ID: ID project cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID
    

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
        --project=CLUSTER_PROJECT_ID
    

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
        --project=CLUSTER_PROJECT_ID
    

Pembuatan cluster Anda memerlukan waktu beberapa menit.

Buat cluster CV yang menggunakan beberapa kebijakan platform (khusus audit)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standar.

Anda dapat membuat cluster dengan beberapa kebijakan platform yang terikat pada cluster tersebut (lihat Referensi GKE API untuk informasi lebih lanjut).

Konsol

Langkah-langkah berikut akan mengonfigurasi cluster Standar.

  1. Di konsol Google Cloud, buka halaman GKE.

    Buka GKE

  2. Klik Buat Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Enable Binary Authorization.

  5. Pilih Khusus audit dan konfigurasikan satu atau beberapa kebijakan platform yang Anda inginkan untuk dievaluasi oleh cluster Anda oleh Otorisasi Biner.

  6. Klik Create.

gcloud

  1. Setel project Google Cloud default Anda:

    gcloud config set project PROJECT_ID
    
  2. Buat cluster.

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi — misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID_1: ID project tempat kebijakan platform pertama disimpan.
    • POLICY_ID_1: ID kebijakan dari kebijakan platform pertama.
    • POLICY_PROJECT_ID_2: ID project tempat kebijakan platform kedua disimpan. Beberapa kebijakan dapat disimpan dalam project yang sama atau dalam project yang berbeda.
    • POLICY_ID_2: ID kebijakan dari kebijakan platform kedua.
    • CLUSTER_PROJECT_ID: ID project cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
        --project=CLUSTER_PROJECT_ID
    

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
        --project=CLUSTER_PROJECT_ID
    

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
        --project=CLUSTER_PROJECT_ID
    

Pembuatan cluster Anda memerlukan waktu beberapa menit.

Membuat cluster CV yang menggunakan beberapa kebijakan platform (audit dan terapkan)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standar.

Anda dapat membuat cluster dengan beberapa kebijakan platform yang terikat padanya (lihat Referensi GKE API untuk mengetahui informasi lebih lanjut).

Konsol

Langkah-langkah berikut akan mengonfigurasi cluster Standar.

  1. Di konsol Google Cloud, buka halaman GKE.

    Buka GKE

  2. Klik Buat Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Enable Binary Authorization.

  5. Pilih Audit dan Terapkan, lalu konfigurasikan kebijakan audit.

  6. Klik Create.

gcloud

  1. Setel project Google Cloud default Anda:

    gcloud config set project PROJECT_ID
    
  2. Buat cluster yang menggunakan penerapan kebijakan singleton project dan audit berbasis kebijakan platform CV:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi — misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID_1: ID project tempat kebijakan platform pertama disimpan.
    • POLICY_ID_1: ID kebijakan dari kebijakan platform pertama.
    • POLICY_PROJECT_ID_2: ID project tempat kebijakan platform kedua disimpan. Beberapa kebijakan dapat disimpan dalam project yang sama atau dalam project yang berbeda.
    • POLICY_ID_2: ID kebijakan dari kebijakan platform kedua.
    • CLUSTER_PROJECT_ID: ID project cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
        --project=CLUSTER_PROJECT_ID
    

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
        --project=CLUSTER_PROJECT_ID
    

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
        --project=CLUSTER_PROJECT_ID
    

Pembuatan cluster Anda memerlukan waktu beberapa menit.

Memverifikasi bahwa Otorisasi Biner diaktifkan

Untuk memastikan Otorisasi Biner diaktifkan untuk cluster, lakukan hal berikut:

Konsol

  1. Buka halaman GKE di konsol Google Cloud.

    Buka GKE

  2. Di bagian Cluster Kubernetes, temukan cluster Anda.

  3. Di bagian Security, pastikan Binary Authorization disetel ke Enabled.

gcloud

Untuk mencantumkan binding kebijakan untuk cluster Anda, lakukan langkah berikut:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Perlu diketahui bahwa mungkin ada informasi tambahan setelah listingan binding kebijakan.

Langkah selanjutnya