Cluster erstellen

Auf dieser Seite wird erläutert, wie Sie mit aktivierter Binärautorisierung in Google Kubernetes Engine (GKE) einen Cluster erstellen. Sie führen diesen Schritt mit der Befehlszeile und gcloud-Befehlen oder mit der Google Cloud Console aus. Dieser Schritt ist Teil der Einrichtung der Binärautorisierung für GKE.

Hinweise

Binärautorisierung aktivieren
GKE API aktivieren.
Aktivieren Sie die API

Konfigurieren Sie eine Plattform-Richtlinie mit der Google Cloud Console, dem Befehlszeilentool oder der REST API.

Cluster mit aktivierter Binärautorisierung erstellen (nur Auditing)

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern. Zum Konfigurieren des Nur-Audit-Auswertungsmodus müssen Sie mindestens eine Plattformrichtlinie angeben.

So erstellen Sie einen Cluster mit aktivierter Binärautorisierung nur mit Prüfung mit nur Audit:

Console

In den folgenden Schritten wird ein Standardcluster konfiguriert.

Öffnen Sie in der Google Cloud Console die Seite GKE.

Zu GKE
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Nur Audit aus und konfigurieren Sie Audit-Richtlinien, mit denen die Binärautorisierung die Images Ihres Clusters bewerten soll.
Klicken Sie auf Erstellen.

gcloud

Legen Sie Ihr Google Cloud-Standardprojekt fest:
```
gcloud config set project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.
Erstellen Sie einen Cluster, der nur verwendet CV-Plattform Richtlinien-basierendes prüfung:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- CLUSTER_NAME: ein Clustername
- LOCATION: Der Standort, z. B. us-central1 oder asia-south1
- POLICY_PROJECT_ID: Die ID des Projekts, in dem die Richtlinie gespeichert ist.
- POLICY_ID: Die Richtlinien-ID.
- CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

Cluster mit aktivierter Binärautorisierung erstellen (nur erzwungen)

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern. Die Erzwingungsrichtlinie ist auf die Projektrichtlinie festgelegt, die standardmäßig alle Images zulässt. Folgen Sie dieser Anleitung, um die Projektrichtlinie zu ändern.

So erstellen Sie einen Cluster mit aktivierter Binärautorisierung und nur aktivierter Erzwingung:

Console

In den folgenden Schritten wird ein Standardcluster konfiguriert.

Öffnen Sie in der Google Cloud Console die Seite GKE.

Zu GKE
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Nur erzwingen aus.
Klicken Sie auf Erstellen.

gcloud

Legen Sie Ihr Google Cloud-Standardprojekt fest:
```
gcloud config set project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.
Erstellen Sie einen Cluster, der nur die Richtlinienerzwingung verwendet:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- CLUSTER_NAME: ein Clustername
- LOCATION: Der Standort, z. B. us-central1 oder asia-south1
- CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID
```

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

Cluster mit aktivierter Binärautorisierung erstellen (Audit und Durchsetzung)

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern.

Die Erzwingungsrichtlinie ist auf die Projektrichtlinie festgelegt, die standardmäßig alle Images zulässt. Folgen Sie dieser Anleitung, um die Projektrichtlinie zu ändern.

Sie können Ihre Richtlinien für die Auditplattform konfigurieren. Für die Prüfung müssen Sie mindestens eine Plattformrichtlinie angeben.

So erstellen Sie einen Cluster mit aktivierter Binärautorisierung mit Prüfung und Erzwingung:

Console

In den folgenden Schritten wird ein Standardcluster konfiguriert.

Öffnen Sie in der Google Cloud Console die Seite GKE.

Zu GKE
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Audit und Durchsetzung aus und konfigurieren Sie Audit-Richtlinien.
Klicken Sie auf Erstellen.

gcloud

Legen Sie Ihr Google Cloud-Standardprojekt fest:
```
gcloud config set project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.
Erstellen Sie einen Cluster, der sowohl die Projekt-Singleton-Richtlinienerzwingung als auch die CV-Plattformrichtlinie basierende Prüfung verwendet:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- CLUSTER_NAME: ein Clustername
- LOCATION: Der Standort, z. B. us-central1 oder asia-south1
- POLICY_PROJECT_ID: Die ID des Projekts, in dem die Richtlinie gespeichert ist.
- POLICY_ID: Die Richtlinien-ID.
- CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

CV-Cluster erstellen, der mehrere Plattformrichtlinien verwendet (nur Audit)

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern.

Sie können Cluster erstellen, an die mehrere Plattformrichtlinien gebunden sind. Weitere Informationen finden Sie in der GKE API-Referenz.

Console

In den folgenden Schritten wird ein Standardcluster konfiguriert.

Öffnen Sie in der Google Cloud Console die Seite GKE.

Zu GKE
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Nur Audit aus und konfigurieren Sie eine oder mehrere Plattformrichtlinien, anhand derer die Binärautorisierung Ihren Cluster auswerten soll.
Klicken Sie auf Erstellen.

gcloud

Legen Sie Ihr Google Cloud-Standardprojekt fest:
```
gcloud config set project PROJECT_ID
```
Erstellen Sie den Cluster.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- CLUSTER_NAME: ein Clustername
- LOCATION: Der Standort, z. B. us-central1 oder asia-south1
- POLICY_PROJECT_ID_1: Die ID des Projekts, in dem die erste Plattformrichtlinie gespeichert ist.
- POLICY_ID_1: Die Richtlinien-ID der ersten Plattformrichtlinie.
- POLICY_PROJECT_ID_2: Die ID des Projekts, in dem die zweite Plattformrichtlinie gespeichert ist. Mehrere Richtlinien können im selben Projekt oder in verschiedenen Projekten gespeichert werden.
- POLICY_ID_2: Die Richtlinien-ID der zweiten Plattformrichtlinie.
- CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

CV-Cluster erstellen, der mehrere Plattformrichtlinien verwendet (Audit und Durchsetzung)

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern.

Sie können Cluster erstellen, an die mehrere Plattformrichtlinien gebunden sind. Weitere Informationen finden Sie in der GKE API-Referenz.

Console

In den folgenden Schritten wird ein Standardcluster konfiguriert.

Öffnen Sie in der Google Cloud Console die Seite GKE.

Zu GKE
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Audit und Durchsetzung aus und konfigurieren Sie Audit-Richtlinien.
Klicken Sie auf Erstellen.

gcloud

Legen Sie Ihr Google Cloud-Standardprojekt fest:
```
gcloud config set project PROJECT_ID
```
Erstellen Sie einen Cluster, der sowohl die Projekt-Singleton-Richtlinienerzwingung als auch die CV-Plattformrichtlinie basierende Prüfung verwendet:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- CLUSTER_NAME: ein Clustername
- LOCATION: Der Standort, z. B. us-central1 oder asia-south1
- POLICY_PROJECT_ID_1: Die ID des Projekts, in dem die erste Plattformrichtlinie gespeichert ist.
- POLICY_ID_1: Die Richtlinien-ID der ersten Plattformrichtlinie.
- POLICY_PROJECT_ID_2: Die ID des Projekts, in dem die zweite Plattformrichtlinie gespeichert ist. Mehrere Richtlinien können im selben Projekt oder in verschiedenen Projekten gespeichert werden.
- POLICY_ID_2: Die Richtlinien-ID der zweiten Plattformrichtlinie.
- CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

Überprüfen, ob die Binärautorisierung aktiviert ist

So prüfen Sie, ob die Binärautorisierung für den Cluster aktiviert ist:

Console

Öffnen Sie die GKE-Seite in der Google Cloud Console.

Zu GKE
Suchen Sie unter Kubernetes-Cluster Ihren Cluster.
Prüfen Sie unter Sicherheit, ob die Binärautorisierung auf Aktiviert festgelegt ist.

gcloud

So listen Sie die Richtlinienbindungen für Ihren Cluster auf:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Nach der Richtlinienbindungsauflistung können zusätzliche Informationen vorhanden sein.

Cluster erstellen

Hinweise

Cluster mit aktivierter Binärautorisierung erstellen (nur Auditing)

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Cluster mit aktivierter Binärautorisierung erstellen (nur erzwungen)

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Cluster mit aktivierter Binärautorisierung erstellen (Audit und Durchsetzung)

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

CV-Cluster erstellen, der mehrere Plattformrichtlinien verwendet (nur Audit)

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

CV-Cluster erstellen, der mehrere Plattformrichtlinien verwendet (Audit und Durchsetzung)

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Überprüfen, ob die Binärautorisierung aktiviert ist

Console

gcloud

Nächste Schritte