Questa pagina è stata tradotta dall'API Cloud Translation.

Crea un cluster

Questa pagina spiega come creare un cluster in Google Kubernetes Engine (GKE) con l'autorizzazione binaria abilitata. Esegui questo passaggio sulla riga di comando utilizzando i comandi gcloud o nella console Google Cloud. Questo passaggio fa parte della configurazione di Autorizzazione binaria per GKE.

Prima di iniziare

Attiva Autorizzazione binaria.
Enable the GKE API.
Enable the API

Configura un criterio della piattaforma utilizzando la console Google Cloud, lo strumento a riga di comando o l'API REST.

Crea un cluster con Autorizzazione binaria abilitata (solo monitoraggio CV)

L'autorizzazione binaria funziona con i cluster Autopilot o Standard. Per configurare la modalità di valutazione solo per il monitoraggio, devi specificare almeno un criterio della piattaforma basato su controlli.

Per creare un cluster con l'autorizzazione binaria abilitata solo con monitoraggio CV, segui questi passaggi:

Console

I passaggi riportati di seguito configurano un cluster standard.

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creare un cluster zonale.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Attiva Autorizzazione binaria. 1. Seleziona Solo controllo e configura i criteri della piattaforma basati sul controllo CV in base ai quali vuoi che l'Autorizzazione binaria valuti le immagini del tuo cluster.
Fai clic su Crea.

gcloud

Imposta il progetto Google Cloud predefinito:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Crea un cluster che utilizzi solo il monitoraggio basato su criteri della piattaforma CV:

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- CLUSTER_NAME: un nome di cluster.
- LOCATION: la località, ad esempio us-central1 o asia-south1.
- POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterio.
- POLICY_ID: l'ID criterio.
- CLUSTER_PROJECT_ID: l'ID progetto del cluster.
Esegui il seguente comando:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

La creazione del cluster può richiedere alcuni minuti.

Creare un cluster con Autorizzazione binaria abilitata (solo applicazione)

L'autorizzazione binaria funziona con i cluster Autopilot o Standard. Il criterio di applicazione è impostato sul criterio del progetto che per impostazione predefinita consente tutte le immagini. Per modificare i criteri del progetto, segui queste istruzioni.

Per creare un cluster con l'Autorizzazione binaria abilitata e solo l'applicazione abilitata, segui questi passaggi:

Console

I passaggi riportati di seguito configurano un cluster standard.

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creare un cluster zonale.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Attiva Autorizzazione binaria.
Seleziona Solo applicazione forzata.
Fai clic su Crea.

gcloud

Imposta il progetto Google Cloud predefinito:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Crea un cluster che utilizza solo l'applicazione delle norme:

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- CLUSTER_NAME: un nome di cluster.
- LOCATION: la località, ad esempio us-central1 o asia-south1.
- CLUSTER_PROJECT_ID: l'ID progetto del cluster.
Esegui il seguente comando:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID
```

Terraform

Il seguente esempio di Terraform crea e configura un cluster standard:

resource "google_container_cluster" "enforce" {
  name               = "gke-standard-regional-binauthz-enforce"
  location           = "us-west1"
  initial_node_count = 1

  binary_authorization {
    evaluation_mode = "PROJECT_SINGLETON_POLICY_ENFORCE"
  }

  # Set `deletion_protection` to `true` will ensure that one cannot
  # accidentally delete this instance by use of Terraform.
  deletion_protection = false
}

Per scoprire di più sull'utilizzo di Terraform, consulta Assistenza di Terraform per GKE.

La creazione del cluster può richiedere alcuni minuti.

Crea un cluster con Autorizzazione binaria abilitata (monitoraggio e applicazione del CV)

L'autorizzazione binaria funziona con i cluster Autopilot o Standard.

Per l'applicazione, il criterio è impostato sul criterio del progetto che per impostazione predefinita consente tutte le immagini. Per modificare i criteri del progetto, segui queste istruzioni.

Per il monitoraggio dei CV, devi specificare almeno un criterio della piattaforma basato sul controllo dei CV.

Per creare un cluster con l'Autorizzazione binaria abilitata sia per il monitoraggio sia per l'applicazione del CV, procedi nel seguente modo:

Console

I passaggi riportati di seguito configurano un cluster standard.

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creare un cluster zonale.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Attiva Autorizzazione binaria.
Seleziona Controlla e applica e configura i criteri della piattaforma basati sul controllo del CV.
Fai clic su Crea.

gcloud

Imposta il progetto Google Cloud predefinito:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Crea un cluster che utilizzi sia l'applicazione dei criteri project-singleton sia il monitoraggio basato su criteri della piattaforma CV:

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- CLUSTER_NAME: un nome di cluster.
- LOCATION: la località, ad esempio us-central1 o asia-south1.
- POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterio.
- POLICY_ID: l'ID criterio.
- CLUSTER_PROJECT_ID: l'ID progetto del cluster.
Esegui il seguente comando:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

La creazione del cluster può richiedere alcuni minuti.

Crea un cluster di CV che utilizza più criteri della piattaforma (solo monitoraggio dei CV)

L'autorizzazione binaria funziona con i cluster Autopilot o Standard.

Puoi creare cluster con più criteri della piattaforma associati (consulta la documentazione di riferimento dell'API GKE per ulteriori informazioni).

Console

I passaggi riportati di seguito configurano un cluster standard.

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creare un cluster zonale.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Attiva Autorizzazione binaria.
Seleziona Solo controllo e configura uno o più criteri della piattaforma in base ai quali vuoi che l'autorizzazione binaria valuti il tuo cluster.
Fai clic su Crea.

gcloud

Imposta il progetto Google Cloud predefinito:
```
gcloud config set project PROJECT_ID
```
Crea il cluster.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- CLUSTER_NAME: un nome di cluster.
- LOCATION: la località, ad esempio us-central1 o asia-south1.
- POLICY_PROJECT_ID_1: l'ID del progetto in cui è archiviato il primo criterio della piattaforma.
- POLICY_ID_1: l'ID del primo criterio della piattaforma.
- POLICY_PROJECT_ID_2: l'ID del progetto in cui è archiviato il secondo criterio della piattaforma. È possibile memorizzare più criteri nello stesso progetto o in progetti diversi.
- POLICY_ID_2: l'ID del secondo criterio della piattaforma.
- CLUSTER_PROJECT_ID: l'ID progetto del cluster.
Esegui il seguente comando:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

La creazione del cluster può richiedere alcuni minuti.

Crea un cluster CV che utilizza più criteri della piattaforma (monitoraggio e applicazione di CV)

L'autorizzazione binaria funziona con i cluster Autopilot o Standard.

Puoi creare cluster con più criteri della piattaforma associati (consulta la documentazione di riferimento dell'API GKE per ulteriori informazioni).

Console

I passaggi riportati di seguito configurano un cluster standard.

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creare un cluster zonale.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Attiva Autorizzazione binaria.
Seleziona Controlla e applica e configura i criteri di monitoraggio del CV.
Fai clic su Crea.

gcloud

Imposta il progetto Google Cloud predefinito:
```
gcloud config set project PROJECT_ID
```
Crea un cluster che utilizzi sia l'applicazione dei criteri project-singleton sia il monitoraggio basato su criteri della piattaforma CV:

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- CLUSTER_NAME: un nome di cluster.
- LOCATION: la località, ad esempio us-central1 o asia-south1.
- POLICY_PROJECT_ID_1: l'ID del progetto in cui è archiviato il primo criterio della piattaforma.
- POLICY_ID_1: l'ID del primo criterio della piattaforma.
- POLICY_PROJECT_ID_2: l'ID del progetto in cui è archiviato il secondo criterio della piattaforma. È possibile memorizzare più criteri nello stesso progetto o in progetti diversi.
- POLICY_ID_2: l'ID del secondo criterio della piattaforma.
- CLUSTER_PROJECT_ID: l'ID progetto del cluster.
Esegui il seguente comando:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

La creazione del cluster può richiedere alcuni minuti.

Verificare che l'autorizzazione binaria sia abilitata

Per verificare che l'autorizzazione binaria sia abilitata per il cluster:

Console

Apri la pagina GKE nella console Google Cloud.

Vai a GKE
In Cluster Kubernetes, individua il tuo cluster.
In Sicurezza, verifica che Autorizzazione binaria sia impostata su Attivata.

gcloud

Per elencare le associazioni dei criteri per il cluster:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Tieni presente che potrebbero essere presenti ulteriori informazioni dopo l'elenco delle associazioni di norme.

Crea un cluster

Prima di iniziare

Crea un cluster con Autorizzazione binaria abilitata (solo monitoraggio CV)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Creare un cluster con Autorizzazione binaria abilitata (solo applicazione)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Terraform

Crea un cluster con Autorizzazione binaria abilitata (monitoraggio e applicazione del CV)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crea un cluster di CV che utilizza più criteri della piattaforma (solo monitoraggio dei CV)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crea un cluster CV che utilizza più criteri della piattaforma (monitoraggio e applicazione di CV)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Verificare che l'autorizzazione binaria sia abilitata

Console

gcloud

Passaggi successivi