Auf dieser Seite wird erläutert, wie Sie mit aktivierter Binärautorisierung in Google Kubernetes Engine (GKE) einen Cluster erstellen. Sie führen diesen Schritt mit der Befehlszeile und gcloud
-Befehlen oder mit der Google Cloud Console aus. Dieser Schritt ist Teil der Einrichtung der Binärautorisierung für GKE.
Hinweis
Führen Sie ggf. die folgenden Schritte aus:
-
-
GKE API aktivieren.
Cluster mit aktivierter Binärautorisierung erstellen
So erstellen Sie einen Cluster mit aktivierter Binärautorisierung:
Console
Öffnen Sie in der Google Cloud Console die Seite GKE.
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie links im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Klicken Sie auf Erstellen.
gcloud
Legen Sie das Google Cloud-Standardprojekt fest. Führen Sie dazu den folgenden Befehl aus:
gcloud config set project PROJECT_ID
Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.
Erstellen Sie den Cluster.
Geben Sie den folgenden Befehl ein:
gcloud container clusters create \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone ZONE \ CLUSTER_NAME
Ersetzen Sie Folgendes:
- ZONE: Die GKE-Zone, z. B.
us-central1-a
. - CLUSTER_NAME: Der Name des Clusters, den Sie erstellen möchten, z. B.
test-cluster
.
- ZONE: Die GKE-Zone, z. B.
Es kann einige Minuten dauern, bis der Cluster erstellt ist.
Binärautorisierung für einen vorhandenen Cluster aktivieren
So aktivieren Sie die Binärautorisierung für einen vorhandenen Cluster:
Console
Öffnen Sie in der Google Cloud Console die Seite GKE.
Suchen Sie unter Kubernetes-Cluster nach Ihrem Cluster.
Klicken Sie auf den Clusternamen.
Suchen Sie in Cluster unter Sicherheit nach Binärautorisierung und klicken Sie auf
.Wählen Sie Binärautorisierung aktivieren aus.
Klicken Sie auf Änderungen speichern.
gcloud
Legen Sie das Google Cloud-Standardprojekt fest. Führen Sie dazu den folgenden Befehl aus:
gcloud config set project PROJECT_ID
Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.
Erstellen Sie den Cluster.
Geben Sie den folgenden Befehl ein:
gcloud container clusters update CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Ersetzen Sie CLUSTER_NAME durch den Namen des Clusters, für den Sie die Binärautorisierung aktivieren möchten.
Überprüfen, ob die Binärautorisierung aktiviert ist
So prüfen Sie, ob die Binärautorisierung für den Cluster aktiviert ist:
Console
Öffnen Sie die GKE-Seite in der Google Cloud Console.
Suchen Sie unter Kubernetes-Cluster Ihren Cluster.
Prüfen Sie unter Sicherheit, ob die Binärautorisierung auf Aktiviert festgelegt ist.
gcloud
Führen Sie den folgenden Befehl aus, um die aktiven Cluster in Ihrem Projekt aufzulisten:
gcloud container clusters list
Optional können Sie die Liste auf eine bestimmte Computing-Zone beschränken. Dazu fügen Sie dem Befehl --zone ZONE
hinzu.
Ersetzen Sie ZONE durch eine Zone, z. B. us-central1-a
.
Weitere Informationen
- Konfigurieren Sie eine Richtlinie mit der Google Cloud Console, dem Befehlszeilentool oder der REST API.