Crea un clúster

En esta página, se explica cómo crear un clúster en Google Kubernetes Engine (GKE) con la autorización binaria habilitada. Realiza este paso en la línea de comandos mediante los comandos de gcloud o en la consola de Google Cloud. Este paso forma parte de la configuración de la autorización binaria para GKE.

Antes de comenzar

Si aún no lo hiciste, haz lo siguiente:

Crea un clúster con la autorización binaria habilitada

Para crear un clúster con la autorización binaria habilitada, sigue estos pasos:

Console

  1. En la consola de Google Cloud, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.

  3. En la barra de navegación izquierda, haz clic en Seguridad.

  4. Selecciona Habilitar la autorización binaria.

  5. Selecciona Solo aplicar.

  6. Haz clic en Crear.

gcloud

  1. Para configurar tu proyecto predeterminado de Google Cloud, ejecuta el siguiente comando:

    gcloud config set project PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto en el que deseas crear el clúster.

  2. Crea el clúster.

    Ingresa el siguiente comando:

    gcloud container clusters create  CLUSTER_NAME \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --zone ZONE
    

    Reemplaza lo siguiente:

    • CLUSTER_NAME: El nombre del clúster que deseas crear, por ejemplo, test-cluster.
    • ZONE: La zona de GKE, por ejemplo, us-central1-a.

El clúster puede tardar unos minutos en crearse.

Habilita la autorización binaria en un clúster existente

Para habilitar la autorización binaria en un clúster existente, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la página de GKE.

    Ir a GKE

  2. En Clústeres de Kubernetes, busca tu clúster.

  3. Haz clic en el nombre del clúster.

  4. En Clústeres, en Seguridad, busca Autorización binaria y haz clic en .

  5. Selecciona Habilitar la autorización binaria.

  6. Selecciona Solo aplicar.

  7. Haz clic en Guardar cambios.

gcloud

  1. Para configurar tu proyecto predeterminado de Google Cloud, ejecuta el siguiente comando:

    gcloud config set project PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto en el que deseas crear el clúster.

  2. Actualiza el clúster.

    Ingresa el siguiente comando:

    gcloud container clusters update CLUSTER_NAME \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --zone ZONE
    

    Reemplaza lo siguiente:

    • CLUSTER_NAME: es el nombre del clúster para el que deseas habilitar Autorización Binaria.
    • ZONE: la zona de GKE, por ejemplo, us-central1-a

    Los clústeres pueden tener habilitada la aplicación de Autorización Binaria y la supervisión de la CV. Para cambiar la configuración de aplicación y supervisión de la CV, establece --binauthz-evaluation-mode en uno de los siguientes valores:

    • POLICY_BINDINGS: habilita solo la supervisión de la CV e inhabilita una política de aplicación existente si la hay
    • PROJECT_SINGLETON_POLICY_ENFORCE: habilita solo la aplicación y, luego, inhabilita la supervisión de la CV si se habilitó antes
    • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: habilita la aplicación y la supervisión de la CV

    Para obtener más información sobre la política de la CV y la administración de clústeres, consulta Administra las políticas de la plataforma de CV.

Verifica que la autorización binaria esté habilitada

Si deseas verificar que la autorización binaria esté habilitada para el clúster, haz lo siguiente:

Console

  1. Abre la página de GKE en la consola de Google Cloud.

    Ir a GKE

  2. En Clústeres de Kubernetes, busca tu clúster.

  3. En Seguridad, verifica que la Autorización binaria esté configurada en Habilitada.

gcloud

Para enumerar los clústeres en ejecución en tu proyecto, ejecuta el siguiente comando:

gcloud container clusters list

De manera opcional, puedes agregar --zone ZONE al comando para restringir la lista a una zona de procesamiento específica.

Reemplaza ZONE por una zona de desarrollo, por ejemplo us-central1-a.

¿Qué sigue?