Crea un clúster

En esta página, se explica cómo crear un clúster en Google Kubernetes Engine (GKE) con la autorización binaria habilitada. Realiza este paso en la línea de comandos mediante los comandos de gcloud o en la consola de Google Cloud. Este paso forma parte de la configuración de la autorización binaria para GKE.

Antes de comenzar

Habilita la autorización binaria.
Habilita la API de GKE.
Habilita la API

Configura una política mediante la consola de Google Cloud, la herramienta de línea de comandos o la API de REST.

Crea un clúster con la autorización binaria habilitada (solo auditoría)

Autorización Binaria funciona con clústeres de Autopilot o Standard. Para configurar el modo de evaluación solo de auditoría, debes especificar al menos una política de plataforma.

Para crear un clúster con la autorización binaria habilitada solo con auditorías, haz lo siguiente:

Console

En los siguientes pasos, se configura un clúster de Standard.

En la consola de Google Cloud, ve a la página de GKE.

Ir a GKE
Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.
En el menú de navegación, haz clic en Seguridad.
Selecciona Habilitar la autorización binaria.
Selecciona Solo auditoría y configura las políticas de auditoría con las que deseas que Autorización Binaria evalúe las imágenes de tu clúster.
Haz clic en Crear.

gcloud

Configura un proyecto predeterminado de Google Cloud:
```
gcloud config set project PROJECT_ID
```
Reemplaza PROJECT_ID por el ID del proyecto en el que deseas crear el clúster.
Crea un clúster que solo use la auditoría basada en la política de la plataforma de CV:

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- CLUSTER_NAME: un nombre de clúster.
- LOCATION: la ubicación, por ejemplo, us-central1 o asia-south1.
- POLICY_PROJECT_ID: El ID del proyecto en el que se almacena la política.
- POLICY_ID: El ID de la política.
- CLUSTER_PROJECT_ID: el ID del proyecto del clúster.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

El clúster puede tardar unos minutos en crearse.

Crea un clúster con Autorización Binaria habilitada (solo se aplica de forma forzosa)

Autorización Binaria funciona con clústeres de Autopilot o Standard. La política de aplicación se configura como la política del proyecto que, de forma predeterminada, permite todas las imágenes. Para cambiar la política del proyecto, sigue estas instrucciones.

Para crear un clúster con Autorización Binaria habilitada solo con la aplicación habilitada, haz lo siguiente:

Console

En los siguientes pasos, se configura un clúster de Standard.

En la consola de Google Cloud, ve a la página de GKE.

Ir a GKE
Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.
En el menú de navegación, haz clic en Seguridad.
Selecciona Habilitar la autorización binaria.
Selecciona Solo aplicar.
Haz clic en Crear.

gcloud

Configura un proyecto predeterminado de Google Cloud:
```
gcloud config set project PROJECT_ID
```
Reemplaza PROJECT_ID por el ID del proyecto en el que deseas crear el clúster.
Crea un clúster que solo use la aplicación de políticas:

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- CLUSTER_NAME: un nombre de clúster.
- LOCATION: la ubicación, por ejemplo, us-central1 o asia-south1.
- CLUSTER_PROJECT_ID: el ID del proyecto del clúster.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID
```

El clúster puede tardar unos minutos en crearse.

Crea un clúster con Autorización Binaria habilitada (auditoría y aplicación)

Autorización Binaria funciona con clústeres de Autopilot o Standard.

La política de aplicación se configura como la política del proyecto que, de forma predeterminada, permite todas las imágenes. Para cambiar la política del proyecto, sigue estas instrucciones.

Puedes configurar las políticas de tu plataforma de auditoría. Para realizar una auditoría, debes especificar al menos una política de plataforma.

Para crear un clúster con Autorización Binaria habilitada con auditoría y aplicación, haz lo siguiente:

Console

En los siguientes pasos, se configura un clúster de Standard.

En la consola de Google Cloud, ve a la página de GKE.

Ir a GKE
Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.
En el menú de navegación, haz clic en Seguridad.
Selecciona Habilitar la autorización binaria.
Selecciona Auditoría y aplicación y configura las políticas de auditoría.
Haz clic en Crear.

gcloud

Configura un proyecto predeterminado de Google Cloud:
```
gcloud config set project PROJECT_ID
```
Reemplaza PROJECT_ID por el ID del proyecto en el que deseas crear el clúster.
Crea un clúster que use la aplicación de políticas de singleton del proyecto y la auditoría basada en la política de la plataforma CV:

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- CLUSTER_NAME: un nombre de clúster.
- LOCATION: la ubicación, por ejemplo, us-central1 o asia-south1.
- POLICY_PROJECT_ID: El ID del proyecto en el que se almacena la política.
- POLICY_ID: El ID de la política.
- CLUSTER_PROJECT_ID: el ID del proyecto del clúster.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

El clúster puede tardar unos minutos en crearse.

Crea un clúster de CV que use varias políticas de plataforma (solo auditoría)

Autorización Binaria funciona con clústeres de Autopilot o Standard.

Puedes crear clústeres con varias políticas de plataforma vinculadas a ellos (consulta la Referencia de la API de GKE para obtener más información).

Console

En los siguientes pasos, se configura un clúster de Standard.

En la consola de Google Cloud, ve a la página de GKE.

Ir a GKE
Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.
En el menú de navegación, haz clic en Seguridad.
Selecciona Habilitar la autorización binaria.
Selecciona Solo auditoría y configura una o más políticas de plataforma con las que deseas que Autorización Binaria evalúe el clúster.
Haz clic en Crear.

gcloud

Configura un proyecto predeterminado de Google Cloud:
```
gcloud config set project PROJECT_ID
```
Crea el clúster.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- CLUSTER_NAME: un nombre de clúster.
- LOCATION: la ubicación, por ejemplo: us-central1 o asia-south1.
- POLICY_PROJECT_ID_1: el ID del proyecto en el que se almacena la primera política de la plataforma.
- POLICY_ID_1: Es el ID de la primera política de la plataforma.
- POLICY_PROJECT_ID_2: El ID del proyecto en el que se almacena la segunda política de la plataforma. Se pueden almacenar varias políticas en el mismo proyecto o en proyectos diferentes.
- POLICY_ID_2: el ID de la segunda política de la plataforma.
- CLUSTER_PROJECT_ID: el ID del proyecto del clúster.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

El clúster puede tardar unos minutos en crearse.

Crea un clúster de CV que use varias políticas de plataforma (auditoría y aplicación)

Autorización Binaria funciona con clústeres de Autopilot o Standard.

Puedes crear clústeres con varias políticas de plataforma vinculadas a ellos (consulta la Referencia de la API de GKE para obtener más información).

Console

En los siguientes pasos, se configura un clúster de Standard.

En la consola de Google Cloud, ve a la página de GKE.

Ir a GKE
Haz clic en Crear clúster. Ingresa los valores para los campos predeterminados como se describe en Crea un clúster zonal.
En el menú de navegación, haz clic en Seguridad.
Selecciona Habilitar la autorización binaria.
Selecciona Auditoría y aplicación y configura las políticas de auditoría.
Haz clic en Crear.

gcloud

Configura un proyecto predeterminado de Google Cloud:
```
gcloud config set project PROJECT_ID
```
Crea un clúster que use la aplicación de políticas de singleton del proyecto y la auditoría basada en la política de la plataforma CV:

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- CLUSTER_NAME: un nombre de clúster.
- LOCATION: la ubicación, por ejemplo: us-central1 o asia-south1.
- POLICY_PROJECT_ID_1: el ID del proyecto en el que se almacena la primera política de la plataforma.
- POLICY_ID_1: Es el ID de la primera política de la plataforma.
- POLICY_PROJECT_ID_2: El ID del proyecto en el que se almacena la segunda política de la plataforma. Se pueden almacenar varias políticas en el mismo proyecto o en proyectos diferentes.
- POLICY_ID_2: el ID de la segunda política de la plataforma.
- CLUSTER_PROJECT_ID: el ID del proyecto del clúster.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: Asegúrate de haber inicializado Google Cloud CLI con autenticación y un proyecto mediante la ejecución de gcloud init o gcloud auth login y gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

El clúster puede tardar unos minutos en crearse.

Verifica que la autorización binaria esté habilitada

Si deseas verificar que la autorización binaria esté habilitada para el clúster, haz lo siguiente:

Console

Abre la página de GKE en la consola de Google Cloud.

Ir a GKE
En Clústeres de Kubernetes, busca tu clúster.
En Seguridad, verifica que la Autorización binaria esté configurada en Habilitada.

gcloud

Para enumerar las vinculaciones de políticas de tu clúster, haz lo siguiente:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Ten en cuenta que puede haber información adicional después de la lista de vinculación de políticas.

Crea un clúster

Antes de comenzar

Crea un clúster con la autorización binaria habilitada (solo auditoría)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crea un clúster con Autorización Binaria habilitada (solo se aplica de forma forzosa)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crea un clúster con Autorización Binaria habilitada (auditoría y aplicación)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crea un clúster de CV que use varias políticas de plataforma (solo auditoría)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crea un clúster de CV que use varias políticas de plataforma (auditoría y aplicación)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Verifica que la autorización binaria esté habilitada

Console

gcloud

¿Qué sigue?