Membuat cluster

Halaman ini menjelaskan cara membuat cluster di Google Kubernetes Engine (GKE) dengan Otorisasi Biner yang diaktifkan. Anda melakukan langkah ini di command line menggunakan perintah gcloud atau di konsol Google Cloud. Langkah ini adalah bagian dari menyiapkan Otorisasi Biner untuk GKE.

Sebelum memulai

Membuat cluster dengan Otorisasi Biner diaktifkan (khusus pemantauan CV)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard. Untuk mengonfigurasi mode evaluasi khusus pemantauan, Anda harus menentukan setidaknya satu kebijakan platform berbasis pemeriksaan.

Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan hanya dengan pemantauan CV, lakukan tindakan berikut:

Konsol

Langkah-langkah berikut akan mengonfigurasi cluster Standard.

  1. Di konsol Google Cloud, buka halaman GKE.

    Buka GKE

  2. Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Enable Binary Authorization. 1. Pilih Audit-only dan konfigurasikan kebijakan platform berbasis pemeriksaan CV yang ingin Anda evaluasi dengan Binary Authorization untuk image cluster.

  5. Klik Create.

gcloud

  1. Setel project Google Cloud default Anda:

    gcloud config set project PROJECT_ID
    

    Ganti PROJECT_ID dengan project ID tempat Anda ingin membuat cluster.

  2. Buat cluster yang hanya menggunakan monitoring berbasis kebijakan platform CV:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi—misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan.
    • POLICY_ID: ID kebijakan.
    • CLUSTER_PROJECT_ID: project ID cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
        --project=CLUSTER_PROJECT_ID

Diperlukan waktu beberapa menit untuk membuat cluster.

Membuat cluster dengan Otorisasi Biner yang diaktifkan (khusus penerapan)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard. Kebijakan penegakan ditetapkan ke kebijakan project yang secara default mengizinkan semua gambar. Untuk mengubah kebijakan project, ikuti petunjuk ini.

Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan dengan hanya penegakan yang diaktifkan, lakukan tindakan berikut:

Konsol

Langkah-langkah berikut akan mengonfigurasi cluster Standard.

  1. Di konsol Google Cloud, buka halaman GKE.

    Buka GKE

  2. Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Enable Binary Authorization.

  5. Pilih Hanya terapkan.

  6. Klik Create.

gcloud

  1. Setel project Google Cloud default Anda:

    gcloud config set project PROJECT_ID
    

    Ganti PROJECT_ID dengan project ID tempat Anda ingin membuat cluster.

  2. Buat cluster yang hanya menggunakan penerapan kebijakan:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi—misalnya, us-central1 atau asia-south1.
    • CLUSTER_PROJECT_ID: project ID cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
        --project=CLUSTER_PROJECT_ID

Terraform

Contoh Terraform berikut membuat dan mengonfigurasi cluster Standar:

resource "google_container_cluster" "enforce" {
  name               = "gke-standard-regional-binauthz-enforce"
  location           = "us-west1"
  initial_node_count = 1

  binary_authorization {
    evaluation_mode = "PROJECT_SINGLETON_POLICY_ENFORCE"
  }

  # Set `deletion_protection` to `true` will ensure that one cannot
  # accidentally delete this instance by use of Terraform.
  deletion_protection = false
}

Untuk mempelajari lebih lanjut cara menggunakan Terraform, lihat Dukungan Terraform untuk GKE.

Diperlukan waktu beberapa menit untuk membuat cluster.

Membuat cluster dengan Otorisasi Biner diaktifkan (CV monitor and enforce)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard.

Untuk penerapan, kebijakan ditetapkan ke kebijakan project yang secara default mengizinkan semua gambar. Untuk mengubah kebijakan project, ikuti petunjuk ini.

Untuk pemantauan CV, Anda harus menentukan setidaknya satu kebijakan platform berbasis pemeriksaan CV.

Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan dengan pemantauan dan penerapan CV, lakukan hal berikut:

Konsol

Langkah-langkah berikut akan mengonfigurasi cluster Standard.

  1. Di konsol Google Cloud, buka halaman GKE.

    Buka GKE

  2. Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Enable Binary Authorization.

  5. Pilih Audit and Enforce dan konfigurasikan kebijakan platform berbasis pemeriksaan CV.

  6. Klik Create.

gcloud

  1. Setel project Google Cloud default Anda:

    gcloud config set project PROJECT_ID
    

    Ganti PROJECT_ID dengan ID project tempat Anda ingin membuat cluster.

  2. Buat cluster yang menggunakan penegakan kebijakan project-singleton dan pemantauan berbasis kebijakan platform CV:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi—misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan.
    • POLICY_ID: ID kebijakan.
    • CLUSTER_PROJECT_ID: project ID cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
        --project=CLUSTER_PROJECT_ID

Diperlukan waktu beberapa menit untuk membuat cluster.

Membuat cluster CV yang menggunakan beberapa kebijakan platform (khusus pemantauan CV)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard.

Anda dapat membuat cluster dengan beberapa kebijakan platform yang terikat (lihat Referensi GKE API untuk mengetahui informasi selengkapnya).

Konsol

Langkah-langkah berikut akan mengonfigurasi cluster Standard.

  1. Di konsol Google Cloud, buka halaman GKE.

    Buka GKE

  2. Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Enable Binary Authorization.

  5. Pilih Khusus audit dan konfigurasikan satu atau beberapa kebijakan platform yang ingin Anda gunakan sebagai dasar penilaian cluster oleh Binary Authorization.

  6. Klik Create.

gcloud

  1. Setel project Google Cloud default Anda:

    gcloud config set project PROJECT_ID
    
  2. Buat cluster.

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi — misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID_1: ID project tempat kebijakan platform pertama disimpan.
    • POLICY_ID_1: ID kebijakan dari kebijakan platform pertama.
    • POLICY_PROJECT_ID_2: ID project tempat kebijakan platform kedua disimpan. Beberapa kebijakan dapat disimpan dalam project yang sama atau dalam project yang berbeda.
    • POLICY_ID_2: ID kebijakan kebijakan platform kedua.
    • CLUSTER_PROJECT_ID: project ID cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
        --project=CLUSTER_PROJECT_ID

Diperlukan waktu beberapa menit untuk membuat cluster.

Membuat cluster CV yang menggunakan beberapa kebijakan platform (CV monitor dan enforce)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard.

Anda dapat membuat cluster dengan beberapa kebijakan platform yang terikat (lihat Referensi GKE API untuk mengetahui informasi selengkapnya).

Konsol

Langkah-langkah berikut akan mengonfigurasi cluster Standard.

  1. Di konsol Google Cloud, buka halaman GKE.

    Buka GKE

  2. Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Enable Binary Authorization.

  5. Pilih Audit and Enforce, lalu konfigurasikan kebijakan pemantauan CV.

  6. Klik Create.

gcloud

  1. Setel project Google Cloud default Anda:

    gcloud config set project PROJECT_ID
    
  2. Buat cluster yang menggunakan penegakan kebijakan project-singleton dan pemantauan berbasis kebijakan platform CV:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi — misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID_1: ID project tempat kebijakan platform pertama disimpan.
    • POLICY_ID_1: ID kebijakan dari kebijakan platform pertama.
    • POLICY_PROJECT_ID_2: ID project tempat kebijakan platform kedua disimpan. Beberapa kebijakan dapat disimpan dalam project yang sama atau dalam project yang berbeda.
    • POLICY_ID_2: ID kebijakan kebijakan platform kedua.
    • CLUSTER_PROJECT_ID: project ID cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
        --project=CLUSTER_PROJECT_ID

Diperlukan waktu beberapa menit untuk membuat cluster.

Memverifikasi bahwa Otorisasi Biner diaktifkan

Untuk memverifikasi bahwa Otorisasi Biner diaktifkan untuk cluster, lakukan tindakan berikut:

Konsol

  1. Buka halaman GKE di konsol Google Cloud.

    Buka GKE

  2. Di bagian Kubernetes clusters, temukan cluster Anda.

  3. Di bagian Security, pastikan Binary Authorization disetel ke Enabled.

gcloud

Untuk mencantumkan binding kebijakan untuk cluster Anda, lakukan hal berikut:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Perhatikan bahwa mungkin ada informasi tambahan setelah listingan binding kebijakan.

Langkah selanjutnya