Cluster erstellen

Auf dieser Seite wird erläutert, wie Sie mit aktivierter Binärautorisierung in Google Kubernetes Engine (GKE) einen Cluster erstellen. Sie führen diesen Schritt mit der Befehlszeile und gcloud-Befehlen oder mit der Google Cloud Console aus. Dieser Schritt ist Teil der Einrichtung der Binärautorisierung für GKE.

Hinweise

Führen Sie ggf. die folgenden Schritte aus:

Cluster mit aktivierter Binärautorisierung erstellen

So erstellen Sie einen Cluster mit aktivierter Binärautorisierung:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite GKE.

    Zu GKE

  2. Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.

  3. Klicken Sie links im Navigationsmenü auf Sicherheit.

  4. Wählen Sie Binärautorisierung aktivieren aus.

  5. Wählen Sie Nur erzwingen aus.

  6. Klicken Sie auf Erstellen.

gcloud

  1. Legen Sie das Google Cloud-Standardprojekt fest. Führen Sie dazu den folgenden Befehl aus:

    gcloud config set project PROJECT_ID
    

    Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.

  2. Erstellen Sie den Cluster.

    Geben Sie den folgenden Befehl ein:

    gcloud container clusters create  CLUSTER_NAME \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --zone ZONE
    

    Ersetzen Sie Folgendes:

    • CLUSTER_NAME: Der Name des Clusters, den Sie erstellen möchten, z. B. test-cluster.
    • ZONE: Die GKE-Zone, z. B. us-central1-a.

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

Binärautorisierung für einen vorhandenen Cluster aktivieren

So aktivieren Sie die Binärautorisierung für einen vorhandenen Cluster:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite GKE.

    Zu GKE

  2. Suchen Sie unter Kubernetes-Cluster nach Ihrem Cluster.

  3. Klicken Sie auf den Clusternamen.

  4. Suchen Sie in Cluster unter Sicherheit nach Binärautorisierung und klicken Sie auf .

  5. Wählen Sie Binärautorisierung aktivieren aus.

  6. Wählen Sie Nur erzwingen aus.

  7. Klicken Sie auf Änderungen speichern.

gcloud

  1. Legen Sie das Google Cloud-Standardprojekt fest. Führen Sie dazu den folgenden Befehl aus:

    gcloud config set project PROJECT_ID
    

    Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.

  2. den Cluster aktualisieren

    Geben Sie den folgenden Befehl ein:

    gcloud container clusters update CLUSTER_NAME \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --zone ZONE
    

    Ersetzen Sie Folgendes:

    • CLUSTER_NAME: der Name des Clusters, für den Sie die Binärautorisierung aktivieren möchten
    • ZONE: die GKE-Zone, z. B. us-central1-a

    Für Cluster können sowohl die Binärautorisierung als auch das CV-Monitoring aktiviert sein. Wenn Sie die Einstellungen für das Monitoring und die Erzwingung von Variablen ändern möchten, setzen Sie --binauthz-evaluation-mode auf einen der folgenden Werte:

    • POLICY_BINDINGS: Aktiviert nur die CV-Überwachung und deaktiviert eine vorhandene Durchsetzungsrichtlinie, falls vorhanden
    • PROJECT_SINGLETON_POLICY_ENFORCE: Aktiviert nur die Erzwingung und deaktiviert die CV-Überwachung, wenn sie zuvor aktiviert war
    • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: sowohl Erzwingung als auch CV-Monitoring aktiviert

    Weitere Informationen zur CV-Richtlinie und Clusterverwaltung finden Sie unter CV-Plattformrichtlinien verwalten.

Überprüfen, ob die Binärautorisierung aktiviert ist

So prüfen Sie, ob die Binärautorisierung für den Cluster aktiviert ist:

Console

  1. Öffnen Sie die GKE-Seite in der Google Cloud Console.

    Zu GKE

  2. Suchen Sie unter Kubernetes-Cluster Ihren Cluster.

  3. Prüfen Sie unter Sicherheit, ob die Binärautorisierung auf Aktiviert festgelegt ist.

gcloud

Führen Sie den folgenden Befehl aus, um die aktiven Cluster in Ihrem Projekt aufzulisten:

gcloud container clusters list

Optional können Sie die Liste auf eine bestimmte Computing-Zone beschränken. Dazu fügen Sie dem Befehl --zone ZONE hinzu.

Ersetzen Sie ZONE durch eine Zone, z. B. us-central1-a.

Nächste Schritte