Diese Seite wurde von der Cloud Translation API übersetzt.

Cluster erstellen

Auf dieser Seite wird erläutert, wie Sie mit aktivierter Binärautorisierung in Google Kubernetes Engine (GKE) einen Cluster erstellen. Sie führen diesen Schritt mit der Befehlszeile und gcloud-Befehlen oder mit der Google Cloud -Konsole aus. Dieser Schritt ist Teil der Einrichtung der Binärautorisierung für GKE.

Hinweise

Binärautorisierung aktivieren
Enable the GKE API.
Enable the API

Konfigurieren Sie eine Plattform-Richtlinie mit der Google Cloud Console, dem Befehlszeilentool oder der REST API.

Cluster mit aktivierter Binärautorisierung erstellen (nur CV-Monitoring)

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern. Zum Konfigurieren des Nur-Überwachungs-Auswertungsmodus müssen Sie mindestens eine prüfbasierte Plattformrichtlinie angeben.

So erstellen Sie einen Cluster mit aktivierter Binärautorisierung nur mit CV-Monitoring:

Console

In den folgenden Schritten wird ein Standardcluster konfiguriert.

Rufen Sie in der Google Cloud Console die Seite „GKE“ auf.

Zu GKE
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus. 1. Wählen Sie Nur prüfen aus und konfigurieren Sie prüfbasierten Plattformrichtlinien für die kontinuierliche Validierung, anhand derer die Binärautorisierung die Images Ihres Clusters bewerten soll.
Klicken Sie auf Erstellen.

gcloud

Legen Sie Ihr Standardprojekt für Google Cloud fest:
```
gcloud config set project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.
Erstellen Sie einen Cluster, der nur CV-Plattformrichtlinie basierendes Monitoring verwendet:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- CLUSTER_NAME: ein Clustername
- LOCATION: Der Standort, z. B. us-central1 oder asia-south1
- POLICY_PROJECT_ID: Die ID des Projekts, in dem die Richtlinie gespeichert ist.
- POLICY_ID: Die Richtlinien-ID.
- CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

Cluster mit aktivierter Binärautorisierung erstellen (nur Erzwingung)

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern. Die Richtlinie zur Durchsetzung von Richtlinien ist auf die Projektrichtlinie festgelegt, die standardmäßig alle Images zulässt. So ändern Sie die Projektrichtlinie.

So erstellen Sie einen Cluster mit aktivierter Binärautorisierung und nur aktivierter Erzwingung:

Console

In den folgenden Schritten wird ein Standardcluster konfiguriert.

Rufen Sie in der Google Cloud Console die Seite „GKE“ auf.

Zu GKE
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Nur erzwingen aus.
Klicken Sie auf Erstellen.

gcloud

Legen Sie Ihr Standardprojekt für Google Cloud fest:
```
gcloud config set project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.
So erstellen Sie einen Cluster, der nur die Erzwingung von Richtlinien verwendet:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- CLUSTER_NAME: ein Clustername
- LOCATION: Der Standort, z. B. us-central1 oder asia-south1
- CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID
```

Terraform

Im folgenden Terraform-Beispiel wird ein Standard-Cluster erstellt und konfiguriert:

resource "google_container_cluster" "default" {
  name               = "gke-standard-regional-binauthz-enforce"
  location           = "us-west1"
  initial_node_count = 1

  binary_authorization {
    evaluation_mode = "PROJECT_SINGLETON_POLICY_ENFORCE"
  }
}

Weitere Informationen zur Verwendung von Terraform finden Sie unter Terraform-Unterstützung für GKE.

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

Cluster mit aktivierter Binärautorisierung erstellen (CV-Monitor und -Erzwingung)

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern.

Für die Durchsetzung ist die Richtlinie auf die Projektrichtlinie festgelegt, die standardmäßig alle Bilder zulässt. So ändern Sie die Projektrichtlinie.

Für das CV-Monitoring müssen Sie mindestens eine prüfbasierte CV-Plattformrichtlinie angeben.

So erstellen Sie einen Cluster mit aktivierter Binärautorisierung mit CV-Monitoring und Erzwingung:

Console

In den folgenden Schritten wird ein Standardcluster konfiguriert.

Rufen Sie in der Google Cloud Console die Seite „GKE“ auf.

Zu GKE
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Prüfen und erzwingen aus und konfigurieren Sie prüfbasierte Plattformrichtlinien für vertrauliche Inhalte.
Klicken Sie auf Erstellen.

gcloud

Legen Sie Ihr Standardprojekt für Google Cloud fest:
```
gcloud config set project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie den Cluster erstellen möchten.
Erstellen Sie einen Cluster, der sowohl die Projekt-Singleton-Richtlinienerzwingung als auch die CV-Plattformrichtlinien basierende Monitoring verwendet:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- CLUSTER_NAME: ein Clustername
- LOCATION: Der Standort, z. B. us-central1 oder asia-south1
- POLICY_PROJECT_ID: Die ID des Projekts, in dem die Richtlinie gespeichert ist.
- POLICY_ID: Die Richtlinien-ID.
- CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

CV-Cluster erstellen, der mehrere Plattformrichtlinien verwendet (nur CV-Monitoring)

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern.

Sie können Cluster erstellen, an die mehrere Plattformrichtlinien gebunden sind. Weitere Informationen finden Sie in der GKE API-Referenz.

Console

In den folgenden Schritten wird ein Standardcluster konfiguriert.

Rufen Sie in der Google Cloud Console die Seite „GKE“ auf.

Zu GKE
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Nur-Audit aus und konfigurieren Sie eine oder mehrere Plattformrichtlinien, anhand derer die Binärautorisierung Ihren Cluster auswerten soll.
Klicken Sie auf Erstellen.

gcloud

Legen Sie Ihr Standardprojekt für Google Cloud fest:
```
gcloud config set project PROJECT_ID
```
Erstellen Sie den Cluster.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- CLUSTER_NAME: ein Clustername
- LOCATION: Der Standort, z. B. us-central1 oder asia-south1
- POLICY_PROJECT_ID_1: Die ID des Projekts, in dem die erste Plattformrichtlinie gespeichert ist.
- POLICY_ID_1: Die Richtlinien-ID der ersten Plattformrichtlinie.
- POLICY_PROJECT_ID_2: Die ID des Projekts, in dem die zweite Plattformrichtlinie gespeichert ist. Mehrere Richtlinien können im selben oder in verschiedenen Projekten gespeichert werden.
- POLICY_ID_2: Die Richtlinien-ID der zweiten Plattformrichtlinie.
- CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

CV-Cluster erstellen, der mehrere Plattformrichtlinien verwendet (CV-Monitoring und -Erzwingung)

Die Binärautorisierung funktioniert mit Autopilot- oder Standardclustern.

Sie können Cluster erstellen, an die mehrere Plattformrichtlinien gebunden sind. Weitere Informationen finden Sie in der GKE API-Referenz.

Console

In den folgenden Schritten wird ein Standardcluster konfiguriert.

Rufen Sie in der Google Cloud Console die Seite „GKE“ auf.

Zu GKE
Klicken Sie auf Cluster erstellen. Geben Sie Werte für die Standardfelder ein, wie unter Zonalen Cluster erstellen beschrieben.
Klicken Sie im Navigationsmenü auf Sicherheit.
Wählen Sie Binärautorisierung aktivieren aus.
Wählen Sie Prüfen und erzwingen aus und konfigurieren Sie Richtlinien für das CV-Monitoring.
Klicken Sie auf Erstellen.

gcloud

Legen Sie Ihr Standardprojekt für Google Cloud fest:
```
gcloud config set project PROJECT_ID
```
Erstellen Sie einen Cluster, der sowohl die Projekt-Singleton-Richtlinienerzwingung als auch die CV-Plattformrichtlinien basierende Monitoring verwendet:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- CLUSTER_NAME: ein Clustername
- LOCATION: Der Standort, z. B. us-central1 oder asia-south1
- POLICY_PROJECT_ID_1: Die ID des Projekts, in dem die erste Plattformrichtlinie gespeichert ist.
- POLICY_ID_1: Die Richtlinien-ID der ersten Plattformrichtlinie.
- POLICY_PROJECT_ID_2: Die ID des Projekts, in dem die zweite Plattformrichtlinie gespeichert ist. Mehrere Richtlinien können im selben oder in verschiedenen Projekten gespeichert werden.
- POLICY_ID_2: Die Richtlinien-ID der zweiten Plattformrichtlinie.
- CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Hinweis: Prüfen Sie, ob die Google Cloud CLI mit Authentifizierung und einem Projekt initialisiert wurde. Führen Sie dazu gcloud init oder gcloud auth login und gcloud config set project aus.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

Es kann einige Minuten dauern, bis der Cluster erstellt ist.

Überprüfen, ob die Binärautorisierung aktiviert ist

So prüfen Sie, ob die Binärautorisierung für den Cluster aktiviert ist:

Console

Öffnen Sie die GKE-Seite in der Google Cloud Console.

Zu GKE
Suchen Sie unter Kubernetes-Cluster Ihren Cluster.
Prüfen Sie unter Sicherheit, ob die Binärautorisierung auf Aktiviert festgelegt ist.

gcloud

So listen Sie die Richtlinienbindungen für Ihren Cluster auf:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Nach der Richtlinienbindungsauflistung können zusätzliche Informationen vorhanden sein.

Cluster erstellen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweise

Cluster mit aktivierter Binärautorisierung erstellen (nur CV-Monitoring)

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Cluster mit aktivierter Binärautorisierung erstellen (nur Erzwingung)

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Terraform

Cluster mit aktivierter Binärautorisierung erstellen (CV-Monitor und -Erzwingung)

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

CV-Cluster erstellen, der mehrere Plattformrichtlinien verwendet (nur CV-Monitoring)

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

CV-Cluster erstellen, der mehrere Plattformrichtlinien verwendet (CV-Monitoring und -Erzwingung)

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Überprüfen, ob die Binärautorisierung aktiviert ist

Console

gcloud

Nächste Schritte

Cluster erstellen