Criar um cluster

Nesta página, explicamos como criar um cluster no Google Kubernetes Engine (GKE) com a autorização binária ativada. Você executa essa etapa na linha de comando usando comandos gcloud ou no Console do Google Cloud. Esta etapa faz parte da configuração da autorização binária para o GKE.

Antes de começar

Criar um cluster com a autorização binária ativada (somente monitoramento de CV)

A autorização binária funciona com clusters do Autopilot ou Standard. Para configurar o modo de avaliação somente de monitoramento, especifique pelo menos uma política de plataforma baseada em verificação.

Para criar um cluster com a autorização binária ativada apenas com monitoramento de CV, faça o seguinte:

Console

Nas etapas a seguir, você configura um cluster padrão.

  1. No console do Google Cloud, abra a página GKE.

    Acessar o GKE

  2. Clique em Criar cluster. Insira valores para os campos padrão, conforme descrito em Como criar um cluster zonal.

  3. No menu de navegação, clique em Segurança.

  4. Selecione Ativar autorização binária. 1. Selecione Somente auditoria e configure Políticas da plataforma com base na verificação de CV que você quer que a autorização binária avalie as imagens do cluster.

  5. Clique em Criar.

gcloud

  1. Defina seu projeto padrão do Google Cloud:

    gcloud config set project PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do projeto em que você quer criar o cluster.

  2. Crie um cluster que use apenas o monitoramento baseado em políticas da plataforma de CV:

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • CLUSTER_NAME: um nome de cluster.
    • LOCATION: o local, por exemplo, us-central1 ou asia-south1.
    • POLICY_PROJECT_ID: o ID do projeto em que a política está armazenada.
    • POLICY_ID: o ID da política.
    • CLUSTER_PROJECT_ID: o ID do projeto do cluster.

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
        --project=CLUSTER_PROJECT_ID

A criação do cluster pode levar alguns minutos.

Criar um cluster com a autorização binária ativada (somente aplicação)

A autorização binária funciona com clusters do Autopilot ou Standard. A política de aplicação é definida como a política do projeto que, por padrão, permite todas as imagens. Para alterar a política do projeto, siga estas instruções.

Para criar um cluster com a autorização binária ativada apenas com a aplicação ativada, faça o seguinte:

Console

Nas etapas a seguir, você configura um cluster padrão.

  1. No console do Google Cloud, abra a página GKE.

    Acessar o GKE

  2. Clique em Criar cluster. Insira valores para os campos padrão, conforme descrito em Como criar um cluster zonal.

  3. No menu de navegação, clique em Segurança.

  4. Selecione Ativar autorização binária.

  5. Selecione Aplicar somente.

  6. Clique em Criar.

gcloud

  1. Defina seu projeto padrão do Google Cloud:

    gcloud config set project PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do projeto em que você quer criar o cluster.

  2. Crie um cluster que use apenas a aplicação da política:

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • CLUSTER_NAME: um nome de cluster.
    • LOCATION: o local, por exemplo, us-central1 ou asia-south1.
    • CLUSTER_PROJECT_ID: o ID do projeto do cluster.

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
        --project=CLUSTER_PROJECT_ID

Terraform

O exemplo do Terraform a seguir cria e configura um cluster padrão:

resource "google_container_cluster" "enforce" {
  name               = "gke-standard-regional-binauthz-enforce"
  location           = "us-west1"
  initial_node_count = 1

  binary_authorization {
    evaluation_mode = "PROJECT_SINGLETON_POLICY_ENFORCE"
  }

  # Set `deletion_protection` to `true` will ensure that one cannot
  # accidentally delete this instance by use of Terraform.
  deletion_protection = false
}

Para saber mais como usar o Terraform, consulte o Suporte do Terraform para GKE.

A criação do cluster pode levar alguns minutos.

Criar um cluster com a autorização binária ativada (monitoramento e aplicação de CV)

A autorização binária funciona com clusters do Autopilot ou Standard.

Para aplicação, a política é definida como política do projeto que, por padrão, permite todas as imagens. Para alterar a política do projeto, siga estas instruções.

Para o monitoramento de CV, é preciso especificar pelo menos uma Política de plataforma baseada em verificação de CV.

Para criar um cluster com a autorização binária ativada com monitoramento e aplicação de CV, faça o seguinte:

Console

Nas etapas a seguir, você configura um cluster padrão.

  1. No console do Google Cloud, abra a página GKE.

    Acessar o GKE

  2. Clique em Criar cluster. Insira valores para os campos padrão, conforme descrito em Como criar um cluster zonal.

  3. No menu de navegação, clique em Segurança.

  4. Selecione Ativar autorização binária.

  5. Selecione Auditar e aplicar e configure Políticas de plataforma baseadas em verificação de CV.

  6. Clique em Criar.

gcloud

  1. Defina seu projeto padrão do Google Cloud:

    gcloud config set project PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do projeto em que você quer criar o cluster.

  2. Crie um cluster que use a aplicação da política de Singleton do projeto e ao monitoramento baseado em políticas da plataforma de CV:

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • CLUSTER_NAME: um nome de cluster.
    • LOCATION: o local, por exemplo, us-central1 ou asia-south1.
    • POLICY_PROJECT_ID: o ID do projeto em que a política está armazenada.
    • POLICY_ID: o ID da política.
    • CLUSTER_PROJECT_ID: o ID do projeto do cluster.

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
        --project=CLUSTER_PROJECT_ID

A criação do cluster pode levar alguns minutos.

Criar um cluster de CV que usa várias políticas de plataforma (somente monitoramento de CV)

A autorização binária funciona com clusters do Autopilot ou Standard.

É possível criar clusters com várias políticas de plataforma vinculadas a eles. Consulte mais informações na Referência da API GKE.

Console

Nas etapas a seguir, você configura um cluster padrão.

  1. No console do Google Cloud, abra a página GKE.

    Acessar o GKE

  2. Clique em Criar cluster. Insira valores para os campos padrão, conforme descrito em Como criar um cluster zonal.

  3. No menu de navegação, clique em Segurança.

  4. Selecione Ativar autorização binária.

  5. Selecione Somente auditoria e configure uma ou mais políticas de plataforma para avaliar seu cluster com a autorização binária.

  6. Clique em Criar.

gcloud

  1. Defina seu projeto padrão do Google Cloud:

    gcloud config set project PROJECT_ID
    
  2. Crie o cluster.

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • CLUSTER_NAME: um nome de cluster.
    • LOCATION: o local, por exemplo, us-central1 ou asia-south1.
    • POLICY_PROJECT_ID_1: o ID do projeto em que a primeira política da plataforma está armazenada.
    • POLICY_ID_1: o ID da primeira política da plataforma.
    • POLICY_PROJECT_ID_2: o ID do projeto em que a segunda política da plataforma está armazenada. Várias políticas podem ser armazenadas no mesmo projeto ou em projetos diferentes.
    • POLICY_ID_2: o ID da segunda política da plataforma.
    • CLUSTER_PROJECT_ID: o ID do projeto do cluster.

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
        --project=CLUSTER_PROJECT_ID

A criação do cluster pode levar alguns minutos.

Criar um cluster de CV que usa várias políticas de plataforma (monitoramento e aplicação de CV)

A autorização binária funciona com clusters do Autopilot ou Standard.

É possível criar clusters com várias políticas de plataforma vinculadas a eles. Consulte mais informações na Referência da API GKE.

Console

Nas etapas a seguir, você configura um cluster padrão.

  1. No console do Google Cloud, abra a página GKE.

    Acessar o GKE

  2. Clique em Criar cluster. Insira valores para os campos padrão, conforme descrito em Como criar um cluster zonal.

  3. No menu de navegação, clique em Segurança.

  4. Selecione Ativar autorização binária.

  5. Selecione Audit and Enforce e configure as políticas de monitoramento de CV.

  6. Clique em Criar.

gcloud

  1. Defina seu projeto padrão do Google Cloud:

    gcloud config set project PROJECT_ID
    
  2. Crie um cluster que use a aplicação da política de Singleton do projeto e ao monitoramento baseado em políticas da plataforma de CV:

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • CLUSTER_NAME: um nome de cluster.
    • LOCATION: o local, por exemplo, us-central1 ou asia-south1.
    • POLICY_PROJECT_ID_1: o ID do projeto em que a primeira política da plataforma está armazenada.
    • POLICY_ID_1: o ID da primeira política da plataforma.
    • POLICY_PROJECT_ID_2: o ID do projeto em que a segunda política da plataforma está armazenada. Várias políticas podem ser armazenadas no mesmo projeto ou em projetos diferentes.
    • POLICY_ID_2: o ID da segunda política da plataforma.
    • CLUSTER_PROJECT_ID: o ID do projeto do cluster.

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
        --project=CLUSTER_PROJECT_ID

A criação do cluster pode levar alguns minutos.

Verificar se a autorização binária está ativada

Para verificar se a autorização binária está ativada para o cluster:

Console

  1. Abra a página do GKE no Console do Google Cloud.

    Acessar o GKE

  2. Em Clusters do Kubernetes, encontre seu cluster.

  3. Em Segurança, verifique se Autorização binária está definida como Ativado.

gcloud

Para listar as vinculações de política do cluster, faça o seguinte:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Pode haver outras informações após a listagem de vinculação da política.

A seguir