Cette page explique comment créer un cluster dans Google Kubernetes Engine (GKE) avec l'autorisation binaire activée. Vous pouvez réaliser cette étape dans la ligne de commande grâce aux commandes gcloud
, ou bien dans la console Google Cloud. Cette étape fait partie de la configuration de l'autorisation binaire pour GKE.
Avant de commencer
Activer l'autorisation binaire.
-
Enable the GKE API.
Configurer une règle de plate-forme en utilisant la console Google Cloud, l'outil de ligne de commande ou l'API REST.
Créer un cluster avec l'autorisation binaire activée (surveillance de la CV uniquement)
L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard. Pour configurer le mode d'évaluation en mode surveillance uniquement, vous devez spécifier au moins une règle de plate-forme basée sur des vérifications.
Pour créer un cluster avec l'autorisation binaire activée uniquement avec la surveillance de la CV, procédez comme suit:
Console
Les étapes suivantes permettent de configurer un cluster standard.
Dans la console Google Cloud, accédez à la page GKE.
Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.
Dans le menu de navigation, cliquez sur Sécurité.
Sélectionnez Activer l'autorisation binaire. 1. Sélectionnez Audit uniquement et configurez les règles de plate-forme basées sur les vérifications de la CV pour lesquelles vous souhaitez que l'autorisation binaire évalue les images de votre cluster.
Cliquez sur Créer.
gcloud
Définissez votre projet Google Cloud par défaut :
gcloud config set project PROJECT_ID
Remplacez
PROJECT_ID
par l'ID du projet dans lequel vous souhaitez créer le cluster.Créez un cluster qui n'utilise que la surveillance basée sur des règles de plate-forme CV :
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
CLUSTER_NAME
: nom du cluster.LOCATION
: emplacement (par exemple :us-central1
ouasia-south1
).POLICY_PROJECT_ID
: l'ID du projet dans lequel la règle est stockée.POLICY_ID
: ID de la règle.CLUSTER_PROJECT_ID
: ID de projet du cluster.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
La création du cluster peut prendre quelques minutes.
Créer un cluster avec l'autorisation binaire activée (application forcée uniquement)
L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard. La règle d'application est définie sur la stratégie du projet, qui autorise toutes les images par défaut. Pour modifier la stratégie du projet, suivez ces instructions.
Pour créer un cluster avec l'autorisation binaire activée avec uniquement l'application forcée, procédez comme suit :
Console
Les étapes suivantes permettent de configurer un cluster standard.
Dans la console Google Cloud, accédez à la page GKE.
Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.
Dans le menu de navigation, cliquez sur Sécurité.
Sélectionnez Activer l'autorisation binaire.
Sélectionnez Appliquer uniquement.
Cliquez sur Créer.
gcloud
Définissez votre projet Google Cloud par défaut :
gcloud config set project PROJECT_ID
Remplacez
PROJECT_ID
par l'ID du projet dans lequel vous souhaitez créer le cluster.Créez un cluster qui n'utilise que l'application des règles :
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
CLUSTER_NAME
: nom du cluster.LOCATION
: emplacement (par exemple :us-central1
ouasia-south1
).CLUSTER_PROJECT_ID
: ID de projet du cluster.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --project=CLUSTER_PROJECT_ID
Terraform
L'exemple Terraform suivant crée et configure un cluster standard:
Pour en savoir plus sur l'utilisation de Terraform, consultez la page Compatibilité de Terraform avec GKE.
La création du cluster peut prendre quelques minutes.
Créer un cluster avec l'autorisation binaire activée (surveillance de la CV et application)
L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.
Pour l'application, la stratégie est définie sur la stratégie du projet, qui autorise toutes les images par défaut. Pour modifier la stratégie du projet, suivez ces instructions.
Pour la surveillance de la CV, vous devez spécifier au moins une règle de plate-forme basée sur la vérification de la CV.
Pour créer un cluster avec l'autorisation binaire activée avec à la fois la surveillance et l'application de la CV, procédez comme suit :
Console
Les étapes suivantes permettent de configurer un cluster standard.
Dans la console Google Cloud, accédez à la page GKE.
Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.
Dans le menu de navigation, cliquez sur Sécurité.
Sélectionnez Activer l'autorisation binaire.
Sélectionnez Audit and Enforce (Auditer et appliquer) et configurez les règles de plate-forme basées sur la vérification de la CV.
Cliquez sur Créer.
gcloud
Définissez votre projet Google Cloud par défaut :
gcloud config set project PROJECT_ID
Remplacez PROJECT_ID par l'ID du projet dans lequel vous souhaitez créer le cluster.
Créez un cluster qui utilise à la fois l'application des règles de projet unique et la surveillance basée sur des règles de plate-forme de CV :
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
CLUSTER_NAME
: nom du cluster.LOCATION
: emplacement (par exemple :us-central1
ouasia-south1
).POLICY_PROJECT_ID
: l'ID du projet dans lequel la règle est stockée.POLICY_ID
: ID de la règle.CLUSTER_PROJECT_ID
: ID de projet du cluster.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
La création du cluster peut prendre quelques minutes.
Créer un cluster CV qui utilise plusieurs règles de plate-forme (surveillance de la CV uniquement)
L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.
Vous pouvez créer des clusters auxquels sont associées plusieurs règles de plate-forme (pour en savoir plus, consultez la documentation de référence de l'API GKE).
Console
Les étapes suivantes permettent de configurer un cluster standard.
Dans la console Google Cloud, accédez à la page GKE.
Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.
Dans le menu de navigation, cliquez sur Sécurité.
Sélectionnez Activer l'autorisation binaire.
Sélectionnez Audit uniquement, puis configurez une ou plusieurs règles de plate-forme sur lesquelles vous souhaitez que l'autorisation binaire évalue votre cluster.
Cliquez sur Créer.
gcloud
Définissez votre projet Google Cloud par défaut :
gcloud config set project PROJECT_ID
Créez le cluster.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
CLUSTER_NAME
: nom du cluster.LOCATION
: emplacement (par exemple :us-central1
ouasia-south1
)POLICY_PROJECT_ID_1
: ID du projet dans lequel la première règle de plate-forme est stockée.POLICY_ID_1
: ID de règle de la première règle de plate-forme.POLICY_PROJECT_ID_2
: ID du projet dans lequel la deuxième règle de plate-forme est stockée. Vous pouvez stocker plusieurs règles dans le même projet ou dans des projets différents.POLICY_ID_2
: ID de règle de la deuxième règle de plate-forme.CLUSTER_PROJECT_ID
: ID de projet du cluster.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
La création du cluster peut prendre quelques minutes.
Créer un cluster CV qui utilise plusieurs règles de plate-forme (surveillance de la CV et application forcée)
L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.
Vous pouvez créer des clusters auxquels sont associées plusieurs règles de plate-forme (pour en savoir plus, consultez la documentation de référence de l'API GKE).
Console
Les étapes suivantes permettent de configurer un cluster standard.
Dans la console Google Cloud, accédez à la page GKE.
Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.
Dans le menu de navigation, cliquez sur Sécurité.
Sélectionnez Activer l'autorisation binaire.
Sélectionnez Audit and Enforce (Auditer et appliquer) et configurez les règles de surveillance de la CV.
Cliquez sur Créer.
gcloud
Définissez votre projet Google Cloud par défaut :
gcloud config set project PROJECT_ID
Créez un cluster qui utilise à la fois l'application des règles de projet unique et la surveillance basée sur des règles de plate-forme de CV :
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
CLUSTER_NAME
: nom du cluster.LOCATION
: emplacement (par exemple :us-central1
ouasia-south1
)POLICY_PROJECT_ID_1
: ID du projet dans lequel la première règle de plate-forme est stockée.POLICY_ID_1
: ID de règle de la première règle de plate-forme.POLICY_PROJECT_ID_2
: ID du projet dans lequel la deuxième règle de plate-forme est stockée. Vous pouvez stocker plusieurs règles dans le même projet ou dans des projets différents.POLICY_ID_2
: ID de règle de la deuxième règle de plate-forme.CLUSTER_PROJECT_ID
: ID de projet du cluster.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
La création du cluster peut prendre quelques minutes.
Vérifier que l'autorisation binaire est activée
Pour vérifier que l'autorisation binaire est activée pour le cluster, procédez comme suit :
Console
Accédez à la page GKE dans la console Google Cloud.
Sous Clusters Kubernetes, recherchez votre cluster.
Sous Sécurité, vérifiez que l'autorisation binaire est définie sur Activé.
gcloud
Pour répertorier les liaisons de stratégie pour votre cluster, procédez comme suit :
gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:
Notez qu'il peut y avoir des informations supplémentaires après la liste des liaisons de règles.
Étape suivante
- Obtenez plus d'informations sur la validation continue de l'autorisation binaire (preview).
- En savoir plus sur l'application de l'autorisation binaire