Crea un clúster

En esta página, se explica cómo crear un clúster en Google Kubernetes Engine (GKE) con la autorización binaria habilitada. Realiza este paso en la línea de comandos mediante los comandos de gcloud o en la consola de Google Cloud. Este paso forma parte de la configuración de la autorización binaria para GKE.

Antes de comenzar

Crea un clúster con la autorización binaria habilitada (solo para supervisión de CV)

Autorización Binaria funciona con clústeres de Autopilot o Standard. Si deseas configurar el modo de evaluación de solo supervisión, debes especificar al menos una política de plataforma basada en verificaciones.

Para crear un clúster con Autorización Binaria habilitada solo con Supervisión de CV, haz lo siguiente:

Console

En los siguientes pasos, se configura un clúster de Standard.

  1. En la consola de Google Cloud, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.

  3. En el menú de navegación, haz clic en Seguridad.

  4. Selecciona Habilitar la autorización binaria. 1. Selecciona Solo auditoría y configura Políticas de la plataforma basadas en la verificación de CV con las que quieres que la autorización binaria evalúe las imágenes de tu clúster.

  5. Haz clic en Crear.

gcloud

  1. Configura un proyecto predeterminado de Google Cloud:

    gcloud config set project PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto en el que deseas crear el clúster.

  2. Crea un clúster que solo use la supervisión basada en la política de la plataforma de CV:

    Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

    • CLUSTER_NAME: un nombre de clúster.
    • LOCATION: la ubicación, por ejemplo, us-central1 o asia-south1.
    • POLICY_PROJECT_ID: El ID del proyecto en el que se almacena la política.
    • POLICY_ID: El ID de la política.
    • CLUSTER_PROJECT_ID: el ID del proyecto del clúster.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
        --project=CLUSTER_PROJECT_ID

El clúster puede tardar unos minutos en crearse.

Crea un clúster con Autorización Binaria habilitada (solo se aplica de forma forzosa)

Autorización Binaria funciona con clústeres de Autopilot o Standard. La política de aplicación se configura como la política del proyecto que, de forma predeterminada, permite todas las imágenes. Para cambiar la política del proyecto, sigue estas instrucciones.

Para crear un clúster con Autorización Binaria habilitada solo con la aplicación habilitada, haz lo siguiente:

Console

En los siguientes pasos, se configura un clúster de Standard.

  1. En la consola de Google Cloud, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.

  3. En el menú de navegación, haz clic en Seguridad.

  4. Selecciona Habilitar la autorización binaria.

  5. Selecciona Solo aplicar.

  6. Haz clic en Crear.

gcloud

  1. Configura un proyecto predeterminado de Google Cloud:

    gcloud config set project PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto en el que deseas crear el clúster.

  2. Crea un clúster que solo use la aplicación de políticas:

    Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

    • CLUSTER_NAME: un nombre de clúster.
    • LOCATION: la ubicación, por ejemplo, us-central1 o asia-south1.
    • CLUSTER_PROJECT_ID: el ID del proyecto del clúster.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
        --project=CLUSTER_PROJECT_ID

Terraform

En el siguiente ejemplo de Terraform, se crea y configura un clúster Standard:

resource "google_container_cluster" "enforce" {
  name               = "gke-standard-regional-binauthz-enforce"
  location           = "us-west1"
  initial_node_count = 1

  binary_authorization {
    evaluation_mode = "PROJECT_SINGLETON_POLICY_ENFORCE"
  }

  # Set `deletion_protection` to `true` will ensure that one cannot
  # accidentally delete this instance by use of Terraform.
  deletion_protection = false
}

Si deseas obtener más información sobre el uso de Terraform, consulta Compatibilidad con Terraform para GKE.

El clúster puede tardar unos minutos en crearse.

Crear un clúster con la autorización binaria habilitada (supervisión de CV y aplicación forzosa)

Autorización Binaria funciona con clústeres de Autopilot o Standard.

Para la aplicación, la política se establece en política del proyecto que, de forma predeterminada, permite todas las imágenes. Para cambiar la política del proyecto, sigue estas instrucciones.

Para la supervisión de CV, debes especificar al menos uno Política de la plataforma basada en la verificación de CV.

Crear un clúster con Autorización Binaria habilitada con ambos CV de supervisión y aplicación, haz lo siguiente:

Console

En los siguientes pasos, se configura un clúster de Standard.

  1. En la consola de Google Cloud, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.

  3. En el menú de navegación, haz clic en Seguridad.

  4. Selecciona Habilitar la autorización binaria.

  5. Selecciona Auditar y aplicar, y configura políticas de la plataforma basadas en la verificación de CV.

  6. Haz clic en Crear.

gcloud

  1. Configura un proyecto predeterminado de Google Cloud:

    gcloud config set project PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto en el que deseas crear el clúster.

  2. Crea un clúster que use la aplicación de políticas de singleton del proyecto y la supervisión basada en la política de la plataforma CV:

    Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

    • CLUSTER_NAME: un nombre de clúster.
    • LOCATION: la ubicación, por ejemplo, us-central1 o asia-south1.
    • POLICY_PROJECT_ID: El ID del proyecto en el que se almacena la política.
    • POLICY_ID: El ID de la política.
    • CLUSTER_PROJECT_ID: el ID del proyecto del clúster.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
        --project=CLUSTER_PROJECT_ID

El clúster puede tardar unos minutos en crearse.

Crea un clúster de CV que use varias políticas de plataforma (solo para supervisión de CV)

Autorización Binaria funciona con clústeres de Autopilot o Standard.

Puedes crear clústeres con varias políticas de plataforma vinculadas a ellos (consulta la Referencia de la API de GKE para obtener más información).

Console

En los siguientes pasos, se configura un clúster de Standard.

  1. En la consola de Google Cloud, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.

  3. En el menú de navegación, haz clic en Seguridad.

  4. Selecciona Habilitar la autorización binaria.

  5. Selecciona Solo auditoría y configura una o más políticas de plataforma con las que deseas que Autorización Binaria evalúe el clúster.

  6. Haz clic en Crear.

gcloud

  1. Configura un proyecto predeterminado de Google Cloud:

    gcloud config set project PROJECT_ID
    
  2. Crea el clúster.

    Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

    • CLUSTER_NAME: un nombre de clúster.
    • LOCATION: la ubicación, por ejemplo: us-central1 o asia-south1.
    • POLICY_PROJECT_ID_1: el ID del proyecto en el que se almacena la primera política de la plataforma.
    • POLICY_ID_1: Es el ID de la primera política de la plataforma.
    • POLICY_PROJECT_ID_2: El ID del proyecto en el que se almacena la segunda política de la plataforma. Se pueden almacenar varias políticas en el mismo proyecto o en proyectos diferentes.
    • POLICY_ID_2: el ID de la segunda política de la plataforma.
    • CLUSTER_PROJECT_ID: el ID del proyecto del clúster.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
        --project=CLUSTER_PROJECT_ID

El clúster puede tardar unos minutos en crearse.

Crear un clúster de CV que use varias políticas de plataforma (supervisión de CV y aplicación forzosa)

Autorización Binaria funciona con clústeres de Autopilot o Standard.

Puedes crear clústeres con varias políticas de plataforma vinculadas a ellos (consulta la Referencia de la API de GKE para obtener más información).

Console

En los siguientes pasos, se configura un clúster de Standard.

  1. En la consola de Google Cloud, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.

  3. En el menú de navegación, haz clic en Seguridad.

  4. Selecciona Habilitar la autorización binaria.

  5. Selecciona Auditar y aplicar, y configura la supervisión de CV. políticas.

  6. Haz clic en Crear.

gcloud

  1. Configura un proyecto predeterminado de Google Cloud:

    gcloud config set project PROJECT_ID
    
  2. Crea un clúster que use la aplicación de políticas de singleton del proyecto y la supervisión basada en la política de la plataforma CV:

    Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

    • CLUSTER_NAME: un nombre de clúster.
    • LOCATION: la ubicación, por ejemplo: us-central1 o asia-south1.
    • POLICY_PROJECT_ID_1: el ID del proyecto en el que se almacena la primera política de la plataforma.
    • POLICY_ID_1: Es el ID de la primera política de la plataforma.
    • POLICY_PROJECT_ID_2: El ID del proyecto en el que se almacena la segunda política de la plataforma. Se pueden almacenar varias políticas en el mismo proyecto o en proyectos diferentes.
    • POLICY_ID_2: el ID de la segunda política de la plataforma.
    • CLUSTER_PROJECT_ID: el ID del proyecto del clúster.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
        --project=CLUSTER_PROJECT_ID

El clúster puede tardar unos minutos en crearse.

Verifica que la autorización binaria esté habilitada

Si deseas verificar que la autorización binaria esté habilitada para el clúster, haz lo siguiente:

Console

  1. Abre la página de GKE en la consola de Google Cloud.

    Ir a GKE

  2. En Clústeres de Kubernetes, busca tu clúster.

  3. En Seguridad, verifica que la Autorización binaria esté configurada en Habilitada.

gcloud

Para enumerar las vinculaciones de políticas de tu clúster, haz lo siguiente:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Ten en cuenta que puede haber información adicional después de la lista de vinculación de políticas.

¿Qué sigue?