Esta página foi traduzida pela API Cloud Translation.

Crie um cluster

Esta página explica como criar um cluster no Google Kubernetes Engine (GKE) com a Autorização binária ativada. Executa este passo na linha de comandos com comandos gcloud ou na consola Google Cloud . Este passo faz parte da configuração da autorização binária para o GKE.

Antes de começar

Ative a autorização binária.
Enable the GKE API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

Configure uma política de plataforma através da Google Cloud consola, ferramenta de linha de comandos, ou API REST.

Crie um cluster com a autorização binária ativada (apenas monitorização de CV)

A autorização binária funciona com clusters do Autopilot ou Standard. Para configurar o modo de avaliação apenas de monitorização, tem de especificar, pelo menos, uma política da plataforma baseada em verificações.

Para criar um cluster com a autorização binária ativada apenas com a monitorização de CV, faça o seguinte:

Consola

Os passos seguintes configuram um cluster padrão.

Na Google Cloud consola, aceda à página do GKE.

Aceda ao GKE
Clique em Criar cluster. Introduza valores para os campos predefinidos, conforme descrito no artigo Criar um cluster zonal.
No menu de navegação, clique em Segurança.
Selecione Ativar autorização binária. 1. Selecione Apenas auditoria e configure as políticas da plataforma baseadas na verificação de CV que quer que a autorização binária avalie relativamente às imagens do seu cluster.
Clique em Criar.

gcloud

Defina o seu Google Cloud projeto predefinido:
```
gcloud config set project PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto onde quer criar o cluster.
Crie um cluster que use apenas a monitorização baseada na política da plataforma de CV:

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
- CLUSTER_NAME: um nome do cluster.
- LOCATION: a localização, por exemplo, us-central1 ou asia-south1.
- POLICY_PROJECT_ID: o ID do projeto onde a política está armazenada.
- POLICY_ID: o ID da política.
- CLUSTER_PROJECT_ID: o ID do projeto do cluster.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

A criação do cluster pode demorar alguns minutos.

Crie um cluster com a autorização binária ativada (apenas aplicação)

A autorização binária funciona com clusters do Autopilot ou Standard. A política de aplicação está definida como a política do projeto que, por predefinição, permite todas as imagens. Para alterar a política do projeto, siga estas instruções.

Para criar um cluster com a autorização binária ativada apenas com a aplicação ativada, faça o seguinte:

Consola

Os passos seguintes configuram um cluster padrão.

Na Google Cloud consola, aceda à página do GKE.

Aceda ao GKE
Clique em Criar cluster. Introduza os valores dos campos predefinidos, conforme descrito no artigo Criar um cluster zonal.
No menu de navegação, clique em Segurança.
Selecione Ativar autorização binária.
Selecione Apenas aplicar.
Clique em Criar.

gcloud

Defina o seu Google Cloud projeto predefinido:
```
gcloud config set project PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto onde quer criar o cluster.
Crie um cluster que use apenas a aplicação de políticas:

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
- CLUSTER_NAME: um nome do cluster.
- LOCATION: a localização, por exemplo, us-central1 ou asia-south1.
- CLUSTER_PROJECT_ID: o ID do projeto do cluster.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID
```

Terraform

O exemplo do Terraform seguinte cria e configura um cluster Standard:

resource "google_container_cluster" "default" {
  name               = "gke-standard-regional-binauthz-enforce"
  location           = "us-west1"
  initial_node_count = 1

  binary_authorization {
    evaluation_mode = "PROJECT_SINGLETON_POLICY_ENFORCE"
  }
}

Para saber mais sobre a utilização do Terraform, consulte o artigo Compatibilidade do Terraform com o GKE.

A criação do cluster pode demorar alguns minutos.

Crie um cluster com a autorização binária ativada (monitorização e aplicação de CV)

A autorização binária funciona com clusters do Autopilot ou Standard.

Para a aplicação, a política é definida como a política do projeto que, por predefinição, permite todas as imagens. Para alterar a política do projeto, siga estas instruções.

Para a monitorização de CVs, tem de especificar, pelo menos, uma política da plataforma baseada na verificação de CVs.

Para criar um cluster com a autorização binária ativada com a monitorização e a aplicação de CV, faça o seguinte:

Consola

Os passos seguintes configuram um cluster padrão.

Na Google Cloud consola, aceda à página do GKE.

Aceda ao GKE
Clique em Criar cluster. Introduza os valores dos campos predefinidos, conforme descrito no artigo Criar um cluster zonal.
No menu de navegação, clique em Segurança.
Selecione Ativar autorização binária.
Selecione Auditoria e aplicação e configure políticas da plataforma baseadas na verificação de CV.
Clique em Criar.

gcloud

Defina o seu Google Cloud projeto predefinido:
```
gcloud config set project PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto onde quer criar o cluster.
Crie um cluster que use a aplicação de políticas de singleton do projeto e a monitorização baseada em políticas da plataforma CV:

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
- CLUSTER_NAME: um nome do cluster.
- LOCATION: a localização, por exemplo, us-central1 ou asia-south1.
- POLICY_PROJECT_ID: o ID do projeto onde a política está armazenada.
- POLICY_ID: o ID da política.
- CLUSTER_PROJECT_ID: o ID do projeto do cluster.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

A criação do cluster pode demorar alguns minutos.

Crie um cluster de CV que use várias políticas de plataformas (apenas monitorização de CV)

A autorização binária funciona com clusters do Autopilot ou Standard.

Pode criar clusters com várias políticas de plataforma associadas (consulte a referência da API GKE para mais informações).

Consola

Os passos seguintes configuram um cluster padrão.

Na Google Cloud consola, aceda à página do GKE.

Aceda ao GKE
Clique em Criar cluster. Introduza os valores dos campos predefinidos, conforme descrito no artigo Criar um cluster zonal.
No menu de navegação, clique em Segurança.
Selecione Ativar autorização binária.
Selecione Apenas auditoria e configure uma ou mais políticas da plataforma que quer que a autorização binária avalie em relação ao seu cluster.
Clique em Criar.

gcloud

Defina o seu Google Cloud projeto predefinido:
```
gcloud config set project PROJECT_ID
```
Crie o cluster.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
- CLUSTER_NAME: um nome do cluster.
- LOCATION: a localização, por exemplo, us-central1 ou asia-south1.
- POLICY_PROJECT_ID_1: o ID do projeto onde a primeira política da plataforma está armazenada.
- POLICY_ID_1: o ID da política da primeira política da plataforma.
- POLICY_PROJECT_ID_2: o ID do projeto onde a segunda política da plataforma está armazenada. É possível armazenar várias políticas no mesmo projeto ou em projetos diferentes.
- POLICY_ID_2: o ID da política da segunda política da plataforma.
- CLUSTER_PROJECT_ID: o ID do projeto do cluster.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

A criação do cluster pode demorar alguns minutos.

Crie um cluster de CV que use várias políticas de plataforma (monitorização e aplicação de CV)

A autorização binária funciona com clusters do Autopilot ou Standard.

Pode criar clusters com várias políticas de plataforma associadas (consulte a referência da API GKE para mais informações).

Consola

Os passos seguintes configuram um cluster padrão.

Na Google Cloud consola, aceda à página do GKE.

Aceda ao GKE
Clique em Criar cluster. Introduza valores para os campos predefinidos, conforme descrito no artigo Criar um cluster zonal.
No menu de navegação, clique em Segurança.
Selecione Ativar autorização binária.
Selecione Auditar e aplicar e configure políticas de monitorização de CV.
Clique em Criar.

gcloud

Defina o seu Google Cloud projeto predefinido:
```
gcloud config set project PROJECT_ID
```
Crie um cluster que use a aplicação de políticas de singleton do projeto e a monitorização baseada em políticas da plataforma CV:

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
- CLUSTER_NAME: um nome do cluster.
- LOCATION: a localização, por exemplo, us-central1 ou asia-south1.
- POLICY_PROJECT_ID_1: o ID do projeto onde a primeira política da plataforma está armazenada.
- POLICY_ID_1: o ID da política da primeira política da plataforma.
- POLICY_PROJECT_ID_2: o ID do projeto onde a segunda política da plataforma está armazenada. É possível armazenar várias políticas no mesmo projeto ou em projetos diferentes.
- POLICY_ID_2: o ID da política da segunda política da plataforma.
- CLUSTER_PROJECT_ID: o ID do projeto do cluster.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: Certifique-se de que inicializou a CLI Google Cloud com autenticação e um projeto executando gcloud init; ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

A criação do cluster pode demorar alguns minutos.

Verifique se a autorização binária está ativada

Para verificar se a autorização binária está ativada para o cluster, faça o seguinte:

Consola

Abra a página do GKE na Google Cloud consola.

Aceda ao GKE
Em Clusters do Kubernetes, encontre o seu cluster.
Em Segurança, verifique se a Autorização binária está definida como Ativada.

gcloud

Para listar as associações de políticas do seu cluster, faça o seguinte:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Tenha em atenção que podem existir informações adicionais após a associação da política à ficha.

Crie um cluster Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Crie um cluster com a autorização binária ativada (apenas monitorização de CV)

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crie um cluster com a autorização binária ativada (apenas aplicação)

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Terraform

Crie um cluster com a autorização binária ativada (monitorização e aplicação de CV)

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crie um cluster de CV que use várias políticas de plataformas (apenas monitorização de CV)

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crie um cluster de CV que use várias políticas de plataforma (monitorização e aplicação de CV)

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Verifique se a autorização binária está ativada

Consola

gcloud

O que se segue?

Crie um cluster