Halaman ini menjelaskan cara membuat cluster di Google Kubernetes Engine (GKE) dengan Otorisasi Biner yang diaktifkan. Anda melakukan langkah ini di command line menggunakan perintah gcloud
atau di konsol Google Cloud. Langkah
ini adalah bagian dari
menyiapkan Otorisasi Biner untuk GKE.
Sebelum memulai
-
-
Enable the GKE API.
Konfigurasikan kebijakan platform menggunakan konsol Google Cloud, alat command line, atau REST API.
Membuat cluster dengan Otorisasi Biner diaktifkan (khusus pemantauan CV)
Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard. Untuk mengonfigurasi mode evaluasi khusus pemantauan, Anda harus menentukan setidaknya satu kebijakan platform berbasis pemeriksaan.
Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan hanya dengan pemantauan CV, lakukan tindakan berikut:
Konsol
Langkah-langkah berikut akan mengonfigurasi cluster Standard.
Di konsol Google Cloud, buka halaman GKE.
Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.
Di menu navigasi, klik Security.
Pilih Enable Binary Authorization. 1. Pilih Audit-only dan konfigurasikan kebijakan platform berbasis pemeriksaan CV yang ingin Anda evaluasi dengan Binary Authorization untuk image cluster.
Klik Create.
gcloud
Setel project Google Cloud default Anda:
gcloud config set project PROJECT_ID
Ganti
PROJECT_ID
dengan project ID tempat Anda ingin membuat cluster.Buat cluster yang hanya menggunakan monitoring berbasis kebijakan platform CV:
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
CLUSTER_NAME
: nama cluster.LOCATION
: lokasi—misalnya,us-central1
atauasia-south1
.POLICY_PROJECT_ID
: ID project tempat kebijakan disimpan.POLICY_ID
: ID kebijakan.CLUSTER_PROJECT_ID
: project ID cluster.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Diperlukan waktu beberapa menit untuk membuat cluster.
Membuat cluster dengan Otorisasi Biner yang diaktifkan (khusus penerapan)
Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard. Kebijakan penegakan ditetapkan ke kebijakan project yang secara default mengizinkan semua gambar. Untuk mengubah kebijakan project, ikuti petunjuk ini.
Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan dengan hanya penegakan yang diaktifkan, lakukan tindakan berikut:
Konsol
Langkah-langkah berikut akan mengonfigurasi cluster Standard.
Di konsol Google Cloud, buka halaman GKE.
Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.
Di menu navigasi, klik Security.
Pilih Enable Binary Authorization.
Pilih Hanya terapkan.
Klik Create.
gcloud
Setel project Google Cloud default Anda:
gcloud config set project PROJECT_ID
Ganti
PROJECT_ID
dengan project ID tempat Anda ingin membuat cluster.Buat cluster yang hanya menggunakan penerapan kebijakan:
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
CLUSTER_NAME
: nama cluster.LOCATION
: lokasi—misalnya,us-central1
atauasia-south1
.CLUSTER_PROJECT_ID
: project ID cluster.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --project=CLUSTER_PROJECT_ID
Terraform
Contoh Terraform berikut membuat dan mengonfigurasi cluster Standar:
Untuk mempelajari lebih lanjut cara menggunakan Terraform, lihat Dukungan Terraform untuk GKE.
Diperlukan waktu beberapa menit untuk membuat cluster.
Membuat cluster dengan Otorisasi Biner diaktifkan (CV monitor and enforce)
Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard.
Untuk penerapan, kebijakan ditetapkan ke kebijakan project yang secara default mengizinkan semua gambar. Untuk mengubah kebijakan project, ikuti petunjuk ini.
Untuk pemantauan CV, Anda harus menentukan setidaknya satu kebijakan platform berbasis pemeriksaan CV.
Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan dengan pemantauan dan penerapan CV, lakukan hal berikut:
Konsol
Langkah-langkah berikut akan mengonfigurasi cluster Standard.
Di konsol Google Cloud, buka halaman GKE.
Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.
Di menu navigasi, klik Security.
Pilih Enable Binary Authorization.
Pilih Audit and Enforce dan konfigurasikan kebijakan platform berbasis pemeriksaan CV.
Klik Create.
gcloud
Setel project Google Cloud default Anda:
gcloud config set project PROJECT_ID
Ganti PROJECT_ID dengan ID project tempat Anda ingin membuat cluster.
Buat cluster yang menggunakan penegakan kebijakan project-singleton dan pemantauan berbasis kebijakan platform CV:
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
CLUSTER_NAME
: nama cluster.LOCATION
: lokasi—misalnya,us-central1
atauasia-south1
.POLICY_PROJECT_ID
: ID project tempat kebijakan disimpan.POLICY_ID
: ID kebijakan.CLUSTER_PROJECT_ID
: project ID cluster.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Diperlukan waktu beberapa menit untuk membuat cluster.
Membuat cluster CV yang menggunakan beberapa kebijakan platform (khusus pemantauan CV)
Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard.
Anda dapat membuat cluster dengan beberapa kebijakan platform yang terikat (lihat Referensi GKE API untuk mengetahui informasi selengkapnya).
Konsol
Langkah-langkah berikut akan mengonfigurasi cluster Standard.
Di konsol Google Cloud, buka halaman GKE.
Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.
Di menu navigasi, klik Security.
Pilih Enable Binary Authorization.
Pilih Khusus audit dan konfigurasikan satu atau beberapa kebijakan platform yang ingin Anda gunakan sebagai dasar penilaian cluster oleh Binary Authorization.
Klik Create.
gcloud
Setel project Google Cloud default Anda:
gcloud config set project PROJECT_ID
Buat cluster.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
CLUSTER_NAME
: nama cluster.LOCATION
: lokasi — misalnya,us-central1
atauasia-south1
.POLICY_PROJECT_ID_1
: ID project tempat kebijakan platform pertama disimpan.POLICY_ID_1
: ID kebijakan dari kebijakan platform pertama.POLICY_PROJECT_ID_2
: ID project tempat kebijakan platform kedua disimpan. Beberapa kebijakan dapat disimpan dalam project yang sama atau dalam project yang berbeda.POLICY_ID_2
: ID kebijakan kebijakan platform kedua.CLUSTER_PROJECT_ID
: project ID cluster.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
Diperlukan waktu beberapa menit untuk membuat cluster.
Membuat cluster CV yang menggunakan beberapa kebijakan platform (CV monitor dan enforce)
Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard.
Anda dapat membuat cluster dengan beberapa kebijakan platform yang terikat (lihat Referensi GKE API untuk mengetahui informasi selengkapnya).
Konsol
Langkah-langkah berikut akan mengonfigurasi cluster Standard.
Di konsol Google Cloud, buka halaman GKE.
Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.
Di menu navigasi, klik Security.
Pilih Enable Binary Authorization.
Pilih Audit and Enforce, lalu konfigurasikan kebijakan pemantauan CV.
Klik Create.
gcloud
Setel project Google Cloud default Anda:
gcloud config set project PROJECT_ID
Buat cluster yang menggunakan penegakan kebijakan project-singleton dan pemantauan berbasis kebijakan platform CV:
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
CLUSTER_NAME
: nama cluster.LOCATION
: lokasi — misalnya,us-central1
atauasia-south1
.POLICY_PROJECT_ID_1
: ID project tempat kebijakan platform pertama disimpan.POLICY_ID_1
: ID kebijakan dari kebijakan platform pertama.POLICY_PROJECT_ID_2
: ID project tempat kebijakan platform kedua disimpan. Beberapa kebijakan dapat disimpan dalam project yang sama atau dalam project yang berbeda.POLICY_ID_2
: ID kebijakan kebijakan platform kedua.CLUSTER_PROJECT_ID
: project ID cluster.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
Diperlukan waktu beberapa menit untuk membuat cluster.
Memverifikasi bahwa Otorisasi Biner diaktifkan
Untuk memverifikasi bahwa Otorisasi Biner diaktifkan untuk cluster, lakukan tindakan berikut:
Konsol
Buka halaman GKE di konsol Google Cloud.
Di bagian Kubernetes clusters, temukan cluster Anda.
Di bagian Security, pastikan Binary Authorization disetel ke Enabled.
gcloud
Untuk mencantumkan binding kebijakan untuk cluster Anda, lakukan hal berikut:
gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:
Perhatikan bahwa mungkin ada informasi tambahan setelah listingan binding kebijakan.
Langkah selanjutnya
- Pelajari Validasi Berkelanjutan Otorisasi Biner lebih lanjut (Pratinjau).
- Pelajari lebih lanjut penerapan Otorisasi Biner.