En esta página, se explica cómo crear un clúster en Google Kubernetes Engine (GKE) con la autorización binaria habilitada. Realiza este paso en la línea de comandos mediante los comandos de gcloud
o en la consola de Google Cloud. Este paso forma parte de la configuración de la autorización binaria para GKE.
Antes de comenzar
Si aún no lo hiciste, haz lo siguiente:
Habilitar la autorización binaria.
-
Habilita la API de GKE.
Crea un clúster con la autorización binaria habilitada
Para crear un clúster con la autorización binaria habilitada, sigue estos pasos:
Console
En la consola de Google Cloud, ve a la página de GKE.
Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.
En la barra de navegación izquierda, haz clic en Seguridad.
Selecciona Habilitar la autorización binaria.
Selecciona Solo aplicar.
Haz clic en Crear.
gcloud
Para configurar tu proyecto predeterminado de Google Cloud, ejecuta el siguiente comando:
gcloud config set project PROJECT_ID
Reemplaza PROJECT_ID por el ID del proyecto en el que deseas crear el clúster.
Crea el clúster.
Ingresa el siguiente comando:
gcloud container clusters create CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone ZONE
Reemplaza lo siguiente:
- CLUSTER_NAME: El nombre del clúster que deseas crear, por ejemplo,
test-cluster
. - ZONE: La zona de GKE, por ejemplo,
us-central1-a
.
- CLUSTER_NAME: El nombre del clúster que deseas crear, por ejemplo,
El clúster puede tardar unos minutos en crearse.
Habilita la autorización binaria en un clúster existente
Para habilitar la autorización binaria en un clúster existente, haz lo siguiente:
Console
En la consola de Google Cloud, ve a la página de GKE.
En Clústeres de Kubernetes, busca tu clúster.
Haz clic en el nombre del clúster.
En Clústeres, en Seguridad, busca Autorización binaria y haz clic en
.Selecciona Habilitar la autorización binaria.
Selecciona Solo aplicar.
Haz clic en Guardar cambios.
gcloud
Para configurar tu proyecto predeterminado de Google Cloud, ejecuta el siguiente comando:
gcloud config set project PROJECT_ID
Reemplaza PROJECT_ID por el ID del proyecto en el que deseas crear el clúster.
Actualiza el clúster.
Ingresa el siguiente comando:
gcloud container clusters update CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone ZONE
Reemplaza lo siguiente:
- CLUSTER_NAME: es el nombre del clúster para el que deseas habilitar Autorización Binaria.
- ZONE: la zona de GKE, por ejemplo,
us-central1-a
Los clústeres pueden tener habilitada la aplicación de Autorización Binaria y la supervisión de la CV. Para cambiar la configuración de aplicación y supervisión de la CV, establece
--binauthz-evaluation-mode
en uno de los siguientes valores:POLICY_BINDINGS
: habilita solo la supervisión de la CV e inhabilita una política de aplicación existente si la hayPROJECT_SINGLETON_POLICY_ENFORCE
: habilita solo la aplicación y, luego, inhabilita la supervisión de la CV si se habilitó antesPOLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE
: habilita la aplicación y la supervisión de la CV
Para obtener más información sobre la política de la CV y la administración de clústeres, consulta Administra las políticas de la plataforma de CV.
Verifica que la autorización binaria esté habilitada
Si deseas verificar que la autorización binaria esté habilitada para el clúster, haz lo siguiente:
Console
Abre la página de GKE en la consola de Google Cloud.
En Clústeres de Kubernetes, busca tu clúster.
En Seguridad, verifica que la Autorización binaria esté configurada en Habilitada.
gcloud
Para enumerar los clústeres en ejecución en tu proyecto, ejecuta el siguiente comando:
gcloud container clusters list
De manera opcional, puedes agregar --zone ZONE
al comando para restringir la lista a una zona de procesamiento específica.
Reemplaza ZONE por una zona de desarrollo, por ejemplo us-central1-a
.
¿Qué sigue?
- Configura una política mediante la consola de Google Cloud, la herramienta de línea de comandos o la API de REST.