Auf dieser Seite wird erläutert, wie Sie mit aktivierter Binärautorisierung in Google Kubernetes Engine (GKE) einen Cluster erstellen. Sie führen diesen Schritt mit der Befehlszeile und gcloud
-Befehlen oder mit der Google Cloud Console aus. Dieser Schritt ist Teil der Einrichtung der Binärautorisierung für GKE.
Hinweise
Führen Sie ggf. die folgenden Schritte aus:
-
-
GKE API aktivieren.
Cluster mit aktivierter Binärautorisierung erstellen
So erstellen Sie einen Cluster mit aktivierter Binärautorisierung:
Console
Öffnen Sie in der Google Cloud Console die Seite GKE.
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie links im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Nur erzwingen aus.
Klicken Sie auf Erstellen.
gcloud
Legen Sie das Google Cloud-Standardprojekt fest. Führen Sie dazu den folgenden Befehl aus:
gcloud config set project PROJECT_ID
Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.
Erstellen Sie den Cluster.
Geben Sie den folgenden Befehl ein:
gcloud container clusters create CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone ZONE
Ersetzen Sie Folgendes:
- CLUSTER_NAME: Der Name des Clusters, den Sie erstellen möchten, z. B.
test-cluster
. - ZONE: Die GKE-Zone, z. B.
us-central1-a
.
- CLUSTER_NAME: Der Name des Clusters, den Sie erstellen möchten, z. B.
Es kann einige Minuten dauern, bis der Cluster erstellt ist.
Binärautorisierung für einen vorhandenen Cluster aktivieren
So aktivieren Sie die Binärautorisierung für einen vorhandenen Cluster:
Console
Öffnen Sie in der Google Cloud Console die Seite GKE.
Suchen Sie unter Kubernetes-Cluster nach Ihrem Cluster.
Klicken Sie auf den Clusternamen.
Suchen Sie in Cluster unter Sicherheit nach Binärautorisierung und klicken Sie auf
.Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Nur erzwingen aus.
Klicken Sie auf Änderungen speichern.
gcloud
Legen Sie das Google Cloud-Standardprojekt fest. Führen Sie dazu den folgenden Befehl aus:
gcloud config set project PROJECT_ID
Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.
den Cluster aktualisieren
Geben Sie den folgenden Befehl ein:
gcloud container clusters update CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone ZONE
Ersetzen Sie Folgendes:
- CLUSTER_NAME: der Name des Clusters, für den Sie die Binärautorisierung aktivieren möchten
- ZONE: die GKE-Zone, z. B.
us-central1-a
Für Cluster können sowohl die Binärautorisierung als auch das CV-Monitoring aktiviert sein. Wenn Sie die Einstellungen für das Monitoring und die Erzwingung von Variablen ändern möchten, setzen Sie
--binauthz-evaluation-mode
auf einen der folgenden Werte:POLICY_BINDINGS
: Aktiviert nur die CV-Überwachung und deaktiviert eine vorhandene Durchsetzungsrichtlinie, falls vorhandenPROJECT_SINGLETON_POLICY_ENFORCE
: Aktiviert nur die Erzwingung und deaktiviert die CV-Überwachung, wenn sie zuvor aktiviert warPOLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE
: sowohl Erzwingung als auch CV-Monitoring aktiviert
Weitere Informationen zur CV-Richtlinie und Clusterverwaltung finden Sie unter CV-Plattformrichtlinien verwalten.
Überprüfen, ob die Binärautorisierung aktiviert ist
So prüfen Sie, ob die Binärautorisierung für den Cluster aktiviert ist:
Console
Öffnen Sie die GKE-Seite in der Google Cloud Console.
Suchen Sie unter Kubernetes-Cluster Ihren Cluster.
Prüfen Sie unter Sicherheit, ob die Binärautorisierung auf Aktiviert festgelegt ist.
gcloud
Führen Sie den folgenden Befehl aus, um die aktiven Cluster in Ihrem Projekt aufzulisten:
gcloud container clusters list
Optional können Sie die Liste auf eine bestimmte Computing-Zone beschränken. Dazu fügen Sie dem Befehl --zone ZONE
hinzu.
Ersetzen Sie ZONE durch eine Zone, z. B. us-central1-a
.
Nächste Schritte
- Konfigurieren Sie eine Richtlinie mit der Google Cloud Console, dem Befehlszeilentool oder der REST API.