Questa pagina spiega come creare un cluster in Google Kubernetes Engine (GKE) con Autorizzazione binaria abilitata. Puoi eseguire questo passaggio alla riga di comando utilizzando i comandi gcloud
o nella console Google Cloud. Questo passaggio fa parte della configurazione di Autorizzazione binaria per GKE.
Prima di iniziare
Abilita Autorizzazione binaria.
-
Attiva l'API GKE.
Configura un criterio della piattaforma utilizzando la console Google Cloud, lo strumento a riga di comando o l'API REST.
Crea un cluster con Autorizzazione binaria abilitata (solo monitoraggio di CV)
Autorizzazione binaria funziona con i cluster Autopilot o Standard. Per configurare la modalità di valutazione solo monitoraggio, devi specificare almeno un criterio della piattaforma basata sui controlli.
Per creare un cluster con Autorizzazione binaria abilitata solo con il monitoraggio CV, segui questi passaggi:
Console
I passaggi seguenti per configurare un cluster Standard.
Nella console Google Cloud, vai alla pagina GKE.
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria. 1. Seleziona Solo controllo e configura i criteri della piattaforma basati su controllo CV per i quali vuoi che Autorizzazione binaria valuti le immagini del tuo cluster.
Fai clic su Crea.
gcloud
Imposta il progetto Google Cloud predefinito:
gcloud config set project PROJECT_ID
Sostituisci
PROJECT_ID
con l'ID del progetto in cui vuoi creare il cluster.Crea un cluster che utilizza solo il monitoraggio basato su criteri della piattaforma CV:
Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:
CLUSTER_NAME
: il nome di un cluster.LOCATION
: la località, ad esempious-central1
oasia-south1
.POLICY_PROJECT_ID
: l'ID del progetto in cui è archiviato il criterio.POLICY_ID
: l'ID del criterio.CLUSTER_PROJECT_ID
: l'ID progetto del cluster.
Esegui questo seguente comando:
Linux, macOS o Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
La creazione del cluster può richiedere alcuni minuti.
Crea un cluster con Autorizzazione binaria abilitata (solo applicazione forzata)
Autorizzazione binaria funziona con i cluster Autopilot o Standard. Il criterio di applicazione è impostato sul criterio del progetto, che consente per impostazione predefinita tutte le immagini. Per modificare il criterio di progetto, segui queste istruzioni.
Per creare un cluster con Autorizzazione binaria abilitata e solo l'applicazione forzata, segui questi passaggi:
Console
I passaggi seguenti per configurare un cluster Standard.
Nella console Google Cloud, vai alla pagina GKE.
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Solo applicazione forzata.
Fai clic su Crea.
gcloud
Imposta il progetto Google Cloud predefinito:
gcloud config set project PROJECT_ID
Sostituisci
PROJECT_ID
con l'ID del progetto in cui vuoi creare il cluster.Crea un cluster che utilizza solo l'applicazione forzata dei criteri:
Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:
CLUSTER_NAME
: il nome di un cluster.LOCATION
: la località, ad esempious-central1
oasia-south1
.CLUSTER_PROJECT_ID
: l'ID progetto del cluster.
Esegui questo seguente comando:
Linux, macOS o Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --project=CLUSTER_PROJECT_ID
La creazione del cluster può richiedere alcuni minuti.
Crea un cluster con Autorizzazione binaria abilitata (Monitoraggio e applicazione forzata di CV)
Autorizzazione binaria funziona con i cluster Autopilot o Standard.
Per l'applicazione, il criterio viene impostato sul criterio del progetto, che per impostazione predefinita consente tutte le immagini. Per modificare il criterio di progetto, segui queste istruzioni.
Per il monitoraggio degli CV, devi specificare almeno un criterio della piattaforma basato sul controllo CV.
Per creare un cluster con Autorizzazione binaria abilitata sia per il monitoraggio di CV che per l'applicazione forzata, segui questi passaggi:
Console
I passaggi seguenti per configurare un cluster Standard.
Nella console Google Cloud, vai alla pagina GKE.
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Controlla e applica e configura i criteri della piattaforma basati sui controlli di CV.
Fai clic su Crea.
gcloud
Imposta il progetto Google Cloud predefinito:
gcloud config set project PROJECT_ID
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Crea un cluster che utilizza sia l'applicazione forzata dei criteri di singolo progetto sia il monitoraggio basato su criteri della piattaforma CV:
Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:
CLUSTER_NAME
: il nome di un cluster.LOCATION
: la località, ad esempious-central1
oasia-south1
.POLICY_PROJECT_ID
: l'ID del progetto in cui è archiviato il criterio.POLICY_ID
: l'ID del criterio.CLUSTER_PROJECT_ID
: l'ID progetto del cluster.
Esegui questo seguente comando:
Linux, macOS o Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
La creazione del cluster può richiedere alcuni minuti.
Crea un cluster di conversioni video che utilizza più criteri della piattaforma (solo monitoraggio di CV)
Autorizzazione binaria funziona con i cluster Autopilot o Standard.
Puoi creare cluster a cui sono associati più criteri della piattaforma (per ulteriori informazioni, consulta la documentazione di riferimento sulle API GKE).
Console
I passaggi seguenti per configurare un cluster Standard.
Nella console Google Cloud, vai alla pagina GKE.
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Solo controllo e configura uno o più criteri della piattaforma in base ai quali vuoi che Autorizzazione binaria valuti il cluster.
Fai clic su Crea.
gcloud
Imposta il progetto Google Cloud predefinito:
gcloud config set project PROJECT_ID
Crea il cluster.
Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:
CLUSTER_NAME
: il nome di un cluster.LOCATION
: la località, ad esempious-central1
oasia-south1
.POLICY_PROJECT_ID_1
: l'ID del progetto in cui è archiviato il primo criterio della piattaforma.POLICY_ID_1
: l'ID criterio del primo criterio della piattaforma.POLICY_PROJECT_ID_2
: l'ID del progetto in cui è archiviato il secondo criterio della piattaforma. È possibile archiviare più criteri nello stesso progetto o in progetti diversi.POLICY_ID_2
: l'ID criterio del secondo criterio della piattaforma.CLUSTER_PROJECT_ID
: l'ID progetto del cluster.
Esegui questo seguente comando:
Linux, macOS o Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
La creazione del cluster può richiedere alcuni minuti.
Crea un cluster CV che utilizza più criteri della piattaforma (monitoraggio e applicazione forzata di CV)
Autorizzazione binaria funziona con i cluster Autopilot o Standard.
Puoi creare cluster a cui sono associati più criteri della piattaforma (per ulteriori informazioni, consulta la documentazione di riferimento sulle API GKE).
Console
I passaggi seguenti per configurare un cluster Standard.
Nella console Google Cloud, vai alla pagina GKE.
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Audit and Enforcer e configura i criteri di monitoraggio di CV.
Fai clic su Crea.
gcloud
Imposta il progetto Google Cloud predefinito:
gcloud config set project PROJECT_ID
Crea un cluster che utilizza sia l'applicazione forzata dei criteri di singolo progetto sia il monitoraggio basato su criteri della piattaforma CV:
Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:
CLUSTER_NAME
: il nome di un cluster.LOCATION
: la località, ad esempious-central1
oasia-south1
.POLICY_PROJECT_ID_1
: l'ID del progetto in cui è archiviato il primo criterio della piattaforma.POLICY_ID_1
: l'ID criterio del primo criterio della piattaforma.POLICY_PROJECT_ID_2
: l'ID del progetto in cui è archiviato il secondo criterio della piattaforma. È possibile archiviare più criteri nello stesso progetto o in progetti diversi.POLICY_ID_2
: l'ID criterio del secondo criterio della piattaforma.CLUSTER_PROJECT_ID
: l'ID progetto del cluster.
Esegui questo seguente comando:
Linux, macOS o Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
La creazione del cluster può richiedere alcuni minuti.
Verifica che Autorizzazione binaria sia abilitata
Per verificare che Autorizzazione binaria sia abilitata per il cluster, segui questi passaggi:
Console
Apri la pagina GKE nella console Google Cloud.
Individua il tuo cluster in Cluster Kubernetes.
In Sicurezza, verifica che Autorizzazione binaria sia impostata su Abilitata.
gcloud
Per elencare le associazioni di criteri per il tuo cluster, segui questi passaggi:
gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:
Tieni presente che potrebbero essere presenti informazioni aggiuntive dopo l'elenco di associazioni di criteri.
Passaggi successivi
- Scopri di più sulla convalida continua di Autorizzazione binaria (anteprima).
- Scopri di più sull'applicazione di Autorizzazione binaria.