Créer un cluster

Cette page explique comment créer un cluster dans Google Kubernetes Engine (GKE) avec l'autorisation binaire activée. Vous pouvez réaliser cette étape dans la ligne de commande grâce aux commandes gcloud, ou bien dans la console Google Cloud . Cette étape fait partie de la configuration de l'autorisation binaire pour GKE.

Avant de commencer

Créer un cluster avec l'autorisation binaire activée (surveillance de la CV uniquement)

L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard. Pour configurer le mode d'évaluation "Surveillance uniquement", vous devez spécifier au moins une règle de plate-forme basée sur des vérifications.

Pour créer un cluster avec l'autorisation binaire activée uniquement avec la surveillance de la CV, procédez comme suit :

Console

Les étapes suivantes permettent de configurer un cluster Standard.

  1. Dans la console Google Cloud , accédez à la page GKE.

    Accéder à la page GKE

  2. Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.

  3. Dans le menu de navigation, cliquez sur Sécurité.

  4. Sélectionnez Activer l'autorisation binaire. 1. Sélectionnez Audit uniquement et configurez les règles de plate-forme basées sur des vérifications de la CV pour lesquelles vous souhaitez que l'autorisation binaire évalue les images de votre cluster.

  5. Cliquez sur Créer.

gcloud

  1. Définissez votre projet Google Cloud par défaut :

    gcloud config set project PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet dans lequel vous souhaitez créer le cluster.

  2. Créez un cluster qui n'utilise que la surveillance basée sur des règles de plate-forme CV :

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • CLUSTER_NAME : nom du cluster.
    • LOCATION : emplacement (par exemple : us-central1 ou asia-south1).
    • POLICY_PROJECT_ID : l'ID du projet dans lequel la règle est stockée.
    • POLICY_ID : ID de la règle.
    • CLUSTER_PROJECT_ID : ID de projet du cluster.

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

La création du cluster peut prendre quelques minutes.

Créer un cluster avec l'autorisation binaire activée (application forcée uniquement)

L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard. La règle d'application est définie sur la stratégie du projet, qui autorise toutes les images par défaut. Pour modifier la stratégie du projet, suivez ces instructions.

Pour créer un cluster avec l'autorisation binaire activée avec uniquement l'application forcée, procédez comme suit :

Console

Les étapes suivantes permettent de configurer un cluster Standard.

  1. Dans la console Google Cloud , accédez à la page GKE.

    Accéder à la page GKE

  2. Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.

  3. Dans le menu de navigation, cliquez sur Sécurité.

  4. Sélectionnez Activer l'autorisation binaire.

  5. Sélectionnez Appliquer uniquement.

  6. Cliquez sur Créer.

gcloud

  1. Définissez votre projet Google Cloud par défaut :

    gcloud config set project PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet dans lequel vous souhaitez créer le cluster.

  2. Créez un cluster qui n'utilise que l'application des règles :

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • CLUSTER_NAME : nom du cluster.
    • LOCATION : emplacement (par exemple : us-central1 ou asia-south1).
    • CLUSTER_PROJECT_ID : ID de projet du cluster.

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID

Terraform

L'exemple Terraform suivant crée et configure un cluster Standard :

resource "google_container_cluster" "default" {
  name               = "gke-standard-regional-binauthz-enforce"
  location           = "us-west1"
  initial_node_count = 1

  binary_authorization {
    evaluation_mode = "PROJECT_SINGLETON_POLICY_ENFORCE"
  }
}

Pour en savoir plus sur l'utilisation de Terraform, consultez la page Compatibilité de Terraform avec GKE.

La création du cluster peut prendre quelques minutes.

Créer un cluster avec l'autorisation binaire activée (surveillance et application de la CV)

L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.

Pour l'application, la stratégie est définie sur la stratégie du projet, qui autorise toutes les images par défaut. Pour modifier la stratégie du projet, suivez ces instructions.

Pour la surveillance CV, vous devez spécifier au moins une règle de plate-forme basée sur la vérification CV.

Pour créer un cluster avec l'autorisation binaire activée avec à la fois la surveillance et l'application de la CV, procédez comme suit :

Console

Les étapes suivantes permettent de configurer un cluster Standard.

  1. Dans la console Google Cloud , accédez à la page GKE.

    Accéder à la page GKE

  2. Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.

  3. Dans le menu de navigation, cliquez sur Sécurité.

  4. Sélectionnez Activer l'autorisation binaire.

  5. Sélectionnez Audit and Enforce (Auditer et appliquer), puis configurez les règles de plate-forme basées sur la vérification de la CV.

  6. Cliquez sur Créer.

gcloud

  1. Définissez votre projet Google Cloud par défaut :

    gcloud config set project PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet dans lequel vous souhaitez créer le cluster.

  2. Créez un cluster qui utilise à la fois l'application des règles de projet unique et la surveillance basée sur des règles de plate-forme de CV :

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • CLUSTER_NAME : nom du cluster.
    • LOCATION : emplacement (par exemple : us-central1 ou asia-south1).
    • POLICY_PROJECT_ID : l'ID du projet dans lequel la règle est stockée.
    • POLICY_ID : ID de la règle.
    • CLUSTER_PROJECT_ID : ID de projet du cluster.

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

La création du cluster peut prendre quelques minutes.

Créer un cluster CV qui utilise plusieurs règles de plate-forme (surveillance de la CV uniquement)

L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.

Vous pouvez créer des clusters auxquels sont associées plusieurs règles de plate-forme (pour en savoir plus, consultez la documentation de référence de l'API GKE).

Console

Les étapes suivantes permettent de configurer un cluster Standard.

  1. Dans la console Google Cloud , accédez à la page GKE.

    Accéder à la page GKE

  2. Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.

  3. Dans le menu de navigation, cliquez sur Sécurité.

  4. Sélectionnez Activer l'autorisation binaire.

  5. Sélectionnez Audit uniquement, puis configurez une ou plusieurs règles de plate-forme sur lesquelles vous souhaitez que l'autorisation binaire évalue votre cluster.

  6. Cliquez sur Créer.

gcloud

  1. Définissez votre projet Google Cloud par défaut :

    gcloud config set project PROJECT_ID

  2. Créez le cluster.

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • CLUSTER_NAME : nom du cluster.
    • LOCATION : emplacement (par exemple : us-central1 ou asia-south1)
    • POLICY_PROJECT_ID_1 : ID du projet dans lequel la première règle de plate-forme est stockée.
    • POLICY_ID_1 : ID de règle de la première règle de plate-forme.
    • POLICY_PROJECT_ID_2 : ID du projet dans lequel la deuxième règle de plate-forme est stockée. Vous pouvez stocker plusieurs règles dans le même projet ou dans des projets différents.
    • POLICY_ID_2 : ID de règle de la deuxième règle de plate-forme.
    • CLUSTER_PROJECT_ID : ID de projet du cluster.

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID

La création du cluster peut prendre quelques minutes.

Créer un cluster CV qui utilise plusieurs règles de plate-forme (surveillance de la CV et application forcée)

L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.

Vous pouvez créer des clusters auxquels sont associées plusieurs règles de plate-forme (pour en savoir plus, consultez la documentation de référence de l'API GKE).

Console

Les étapes suivantes permettent de configurer un cluster Standard.

  1. Dans la console Google Cloud , accédez à la page GKE.

    Accéder à la page GKE

  2. Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.

  3. Dans le menu de navigation, cliquez sur Sécurité.

  4. Sélectionnez Activer l'autorisation binaire.

  5. Sélectionnez Audit and Enforce (Auditer et appliquer) et configurez les règles de surveillance de la CV.

  6. Cliquez sur Créer.

gcloud

  1. Définissez votre projet Google Cloud par défaut :

    gcloud config set project PROJECT_ID

  2. Créez un cluster qui utilise à la fois l'application des règles de projet unique et la surveillance basée sur des règles de plate-forme de CV :

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • CLUSTER_NAME : nom du cluster.
    • LOCATION : emplacement (par exemple : us-central1 ou asia-south1)
    • POLICY_PROJECT_ID_1 : ID du projet dans lequel la première règle de plate-forme est stockée.
    • POLICY_ID_1 : ID de règle de la première règle de plate-forme.
    • POLICY_PROJECT_ID_2 : ID du projet dans lequel la deuxième règle de plate-forme est stockée. Vous pouvez stocker plusieurs règles dans le même projet ou dans des projets différents.
    • POLICY_ID_2 : ID de règle de la deuxième règle de plate-forme.
    • CLUSTER_PROJECT_ID : ID de projet du cluster.

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID

La création du cluster peut prendre quelques minutes.

Vérifier que l'autorisation binaire est activée

Pour vérifier que l'autorisation binaire est activée pour le cluster, procédez comme suit :

Console

  1. Accédez à la page GKE dans la console Google Cloud .

    Accéder à la page GKE

  2. Sous Clusters Kubernetes, recherchez votre cluster.

  3. Sous Sécurité, vérifiez que l'autorisation binaire est définie sur Activé.

gcloud

Pour répertorier les liaisons de stratégie pour votre cluster, procédez comme suit : 

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Notez qu'il peut y avoir des informations supplémentaires après la liste des liaisons de règles.

Étape suivante