Cette page explique comment créer un cluster dans Google Kubernetes Engine (GKE) avec l'autorisation binaire activée. Vous pouvez réaliser cette étape dans la ligne de commande grâce aux commandes gcloud, ou bien dans Google Cloud Console. Cette étape fait partie de la configuration de l'autorisation binaire pour GKE.
Avant de commencer
Activer l'autorisation binaire.
-
Enable the GKE API.
Configurer une règle de plate-forme en utilisant la console Google Cloud, l'outil de ligne de commande ou l'API REST.
Créer un cluster avec l'autorisation binaire activée (audit uniquement)
L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard. Pour configurer le mode d'évaluation seulement, vous devez spécifier au moins une règle de plate-forme.
Pour créer un cluster avec l'autorisation binaire activée uniquement avec un audit, procédez comme suit:
Console
Les étapes suivantes permettent de configurer un cluster standard.
Dans la console Google Cloud, accédez à la page GKE.
Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.
Dans le menu de navigation, cliquez sur Sécurité.
Sélectionnez Activer l'autorisation binaire.
Sélectionnez Audit uniquement et configurez les stratégies d'audit pour lesquelles vous souhaitez que l'autorisation binaire évalue les images de votre cluster.
Cliquez sur Créer.
gcloud
Définissez votre projet Google Cloud par défaut :
gcloud config set project PROJECT_ID
Remplacez
PROJECT_IDpar l'ID du projet dans lequel vous souhaitez créer le cluster.Créez un cluster qui n'utilise que l'audit basé sur des règles de plate-forme CV :
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
CLUSTER_NAME: nom du cluster.LOCATION: emplacement (par exemple :us-central1ouasia-south1).POLICY_PROJECT_ID: l'ID du projet dans lequel la règle est stockée.POLICY_ID: ID de la règle.CLUSTER_PROJECT_ID: ID de projet du cluster.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_IDWindows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_IDWindows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
La création du cluster peut prendre quelques minutes.
Créer un cluster avec l'autorisation binaire activée (application forcée uniquement)
L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard. La stratégie d'application est définie sur la stratégie de projet qui autorise par défaut toutes les images. Pour modifier la stratégie de projet, suivez ces instructions.
Pour créer un cluster avec l'autorisation binaire activée avec uniquement l'application forcée, procédez comme suit :
Console
Les étapes suivantes permettent de configurer un cluster standard.
Dans la console Google Cloud, accédez à la page GKE.
Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.
Dans le menu de navigation, cliquez sur Sécurité.
Sélectionnez Activer l'autorisation binaire.
Sélectionnez Appliquer uniquement.
Cliquez sur Créer.
gcloud
Définissez votre projet Google Cloud par défaut :
gcloud config set project PROJECT_ID
Remplacez
PROJECT_IDpar l'ID du projet dans lequel vous souhaitez créer le cluster.Créez un cluster qui n'utilise que l'application des règles :
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
CLUSTER_NAME: nom du cluster.LOCATION: emplacement (par exemple :us-central1ouasia-south1).CLUSTER_PROJECT_ID: ID de projet du cluster.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --project=CLUSTER_PROJECT_IDWindows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --project=CLUSTER_PROJECT_IDWindows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --project=CLUSTER_PROJECT_ID
La création du cluster peut prendre quelques minutes.
Créer un cluster avec l'autorisation binaire activée (audit et application)
L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.
La stratégie d'application est définie sur la stratégie de projet qui autorise par défaut toutes les images. Pour modifier la stratégie de projet, suivez ces instructions.
Vous pouvez configurer les règles de votre plate-forme d'audit. Pour un audit, vous devez spécifier au moins une règle de plate-forme.
Pour créer un cluster avec l'autorisation binaire activée avec l'audit et l'application, procédez comme suit :
Console
Les étapes suivantes permettent de configurer un cluster standard.
Dans la console Google Cloud, accédez à la page GKE.
Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.
Dans le menu de navigation, cliquez sur Sécurité.
Sélectionnez Activer l'autorisation binaire.
Sélectionnez Audit et application, puis configurez des règles d'audit.
Cliquez sur Créer.
gcloud
Définissez votre projet Google Cloud par défaut :
gcloud config set project PROJECT_ID
Remplacez PROJECT_ID par l'ID du projet dans lequel vous souhaitez créer le cluster.
Créez un cluster qui utilise à la fois l'application des règles de projet unique et l'audit basé sur des règles de plate-forme de CV :
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
CLUSTER_NAME: nom du cluster.LOCATION: emplacement (par exemple :us-central1ouasia-south1).POLICY_PROJECT_ID: l'ID du projet dans lequel la règle est stockée.POLICY_ID: ID de la règle.CLUSTER_PROJECT_ID: ID de projet du cluster.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_IDWindows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_IDWindows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
La création du cluster peut prendre quelques minutes.
Créer un cluster de CV qui utilise plusieurs règles de plate-forme (audit uniquement)
L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.
Vous pouvez créer des clusters auxquels plusieurs règles de plate-forme sont associées (consultez la page Documentation de référence de l'API GKE pour plus d'informations).
Console
Les étapes suivantes permettent de configurer un cluster standard.
Dans la console Google Cloud, accédez à la page GKE.
Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.
Dans le menu de navigation, cliquez sur Sécurité.
Sélectionnez Activer l'autorisation binaire.
Sélectionnez Audit uniquement, puis configurez une ou plusieurs règles de plate-forme sur lesquelles vous souhaitez que l'autorisation binaire évalue votre cluster.
Cliquez sur Créer.
gcloud
Définissez votre projet Google Cloud par défaut :
gcloud config set project PROJECT_ID
Créez le cluster.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
CLUSTER_NAME: nom du cluster.LOCATION: emplacement (par exemple :us-central1ouasia-south1)POLICY_PROJECT_ID_1: ID du projet dans lequel la première règle de plate-forme est stockée.POLICY_ID_1: ID de règle de la première règle de plate-forme.POLICY_PROJECT_ID_2: ID du projet dans lequel la deuxième règle de plate-forme est stockée. Plusieurs règles peuvent être stockées dans le même projet ou dans des projets différents.POLICY_ID_2: ID de règle de la deuxième règle de plate-forme.CLUSTER_PROJECT_ID: ID de projet du cluster.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_IDWindows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_IDWindows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
La création du cluster peut prendre quelques minutes.
Créer un cluster de CV qui utilise plusieurs règles de plate-forme (audit et application)
L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.
Vous pouvez créer des clusters auxquels plusieurs règles de plate-forme sont associées (consultez la page Documentation de référence de l'API GKE pour plus d'informations).
Console
Les étapes suivantes permettent de configurer un cluster standard.
Dans la console Google Cloud, accédez à la page GKE.
Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.
Dans le menu de navigation, cliquez sur Sécurité.
Sélectionnez Activer l'autorisation binaire.
Sélectionnez Audit et application, puis configurez des règles d'audit.
Cliquez sur Créer.
gcloud
Définissez votre projet Google Cloud par défaut :
gcloud config set project PROJECT_ID
Créez un cluster qui utilise à la fois l'application des règles de projet unique et l'audit basé sur des règles de plate-forme de CV :
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
CLUSTER_NAME: nom du cluster.LOCATION: emplacement (par exemple :us-central1ouasia-south1)POLICY_PROJECT_ID_1: ID du projet dans lequel la première règle de plate-forme est stockée.POLICY_ID_1: ID de règle de la première règle de plate-forme.POLICY_PROJECT_ID_2: ID du projet dans lequel la deuxième règle de plate-forme est stockée. Plusieurs règles peuvent être stockées dans le même projet ou dans des projets différents.POLICY_ID_2: ID de règle de la deuxième règle de plate-forme.CLUSTER_PROJECT_ID: ID de projet du cluster.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_IDWindows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_IDWindows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
La création du cluster peut prendre quelques minutes.
Vérifier que l'autorisation binaire est activée
Pour vérifier que l'autorisation binaire est activée pour le cluster, procédez comme suit :
Console
Accédez à la page GKE dans la console Google Cloud.
Sous Clusters Kubernetes, recherchez votre cluster.
Sous Sécurité, vérifiez que l'autorisation binaire est définie sur Activé.
gcloud
Pour répertorier les liaisons de stratégie pour votre cluster, procédez comme suit :
gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:
Notez que la liste des liaisons de stratégies peut contenir des informations supplémentaires.
Étapes suivantes
- Obtenez plus d'informations sur la validation continue de l'autorisation binaire.
- En savoir plus sur l'application de l'autorisation binaire