Créer un cluster

Cette page explique comment créer un cluster dans Google Kubernetes Engine (GKE) avec l'autorisation binaire activée. Vous pouvez réaliser cette étape dans la ligne de commande grâce aux commandes gcloud, ou bien dans Google Cloud Console. Cette étape fait partie de la configuration de l'autorisation binaire pour GKE.

Avant de commencer

Créer un cluster avec l'autorisation binaire activée (audit uniquement)

L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard. Pour configurer le mode d'évaluation seulement, vous devez spécifier au moins une règle de plate-forme.

Pour créer un cluster avec l'autorisation binaire activée uniquement avec un audit, procédez comme suit:

Console

Les étapes suivantes permettent de configurer un cluster standard.

  1. Dans la console Google Cloud, accédez à la page GKE.

    Accéder à la page GKE

  2. Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.

  3. Dans le menu de navigation, cliquez sur Sécurité.

  4. Sélectionnez Activer l'autorisation binaire.

  5. Sélectionnez Audit uniquement et configurez les stratégies d'audit pour lesquelles vous souhaitez que l'autorisation binaire évalue les images de votre cluster.

  6. Cliquez sur Créer.

gcloud

  1. Définissez votre projet Google Cloud par défaut :

    gcloud config set project PROJECT_ID
    

    Remplacez PROJECT_ID par l'ID du projet dans lequel vous souhaitez créer le cluster.

  2. Créez un cluster qui n'utilise que l'audit basé sur des règles de plate-forme CV :

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • CLUSTER_NAME : nom du cluster.
    • LOCATION : emplacement (par exemple : us-central1 ou asia-south1).
    • POLICY_PROJECT_ID : l'ID du projet dans lequel la règle est stockée.
    • POLICY_ID : ID de la règle.
    • CLUSTER_PROJECT_ID : ID de projet du cluster.

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
        --project=CLUSTER_PROJECT_ID

La création du cluster peut prendre quelques minutes.

Créer un cluster avec l'autorisation binaire activée (application forcée uniquement)

L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard. La stratégie d'application est définie sur la stratégie de projet qui autorise par défaut toutes les images. Pour modifier la stratégie de projet, suivez ces instructions.

Pour créer un cluster avec l'autorisation binaire activée avec uniquement l'application forcée, procédez comme suit :

Console

Les étapes suivantes permettent de configurer un cluster standard.

  1. Dans la console Google Cloud, accédez à la page GKE.

    Accéder à la page GKE

  2. Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.

  3. Dans le menu de navigation, cliquez sur Sécurité.

  4. Sélectionnez Activer l'autorisation binaire.

  5. Sélectionnez Appliquer uniquement.

  6. Cliquez sur Créer.

gcloud

  1. Définissez votre projet Google Cloud par défaut :

    gcloud config set project PROJECT_ID
    

    Remplacez PROJECT_ID par l'ID du projet dans lequel vous souhaitez créer le cluster.

  2. Créez un cluster qui n'utilise que l'application des règles :

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • CLUSTER_NAME : nom du cluster.
    • LOCATION : emplacement (par exemple : us-central1 ou asia-south1).
    • CLUSTER_PROJECT_ID : ID de projet du cluster.

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
        --project=CLUSTER_PROJECT_ID

La création du cluster peut prendre quelques minutes.

Créer un cluster avec l'autorisation binaire activée (audit et application)

L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.

La stratégie d'application est définie sur la stratégie de projet qui autorise par défaut toutes les images. Pour modifier la stratégie de projet, suivez ces instructions.

Vous pouvez configurer les règles de votre plate-forme d'audit. Pour un audit, vous devez spécifier au moins une règle de plate-forme.

Pour créer un cluster avec l'autorisation binaire activée avec l'audit et l'application, procédez comme suit :

Console

Les étapes suivantes permettent de configurer un cluster standard.

  1. Dans la console Google Cloud, accédez à la page GKE.

    Accéder à la page GKE

  2. Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.

  3. Dans le menu de navigation, cliquez sur Sécurité.

  4. Sélectionnez Activer l'autorisation binaire.

  5. Sélectionnez Audit et application, puis configurez des règles d'audit.

  6. Cliquez sur Créer.

gcloud

  1. Définissez votre projet Google Cloud par défaut :

    gcloud config set project PROJECT_ID
    

    Remplacez PROJECT_ID par l'ID du projet dans lequel vous souhaitez créer le cluster.

  2. Créez un cluster qui utilise à la fois l'application des règles de projet unique et l'audit basé sur des règles de plate-forme de CV :

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • CLUSTER_NAME : nom du cluster.
    • LOCATION : emplacement (par exemple : us-central1 ou asia-south1).
    • POLICY_PROJECT_ID : l'ID du projet dans lequel la règle est stockée.
    • POLICY_ID : ID de la règle.
    • CLUSTER_PROJECT_ID : ID de projet du cluster.

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
        --project=CLUSTER_PROJECT_ID

La création du cluster peut prendre quelques minutes.

Créer un cluster de CV qui utilise plusieurs règles de plate-forme (audit uniquement)

L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.

Vous pouvez créer des clusters auxquels plusieurs règles de plate-forme sont associées (consultez la page Documentation de référence de l'API GKE pour plus d'informations).

Console

Les étapes suivantes permettent de configurer un cluster standard.

  1. Dans la console Google Cloud, accédez à la page GKE.

    Accéder à la page GKE

  2. Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.

  3. Dans le menu de navigation, cliquez sur Sécurité.

  4. Sélectionnez Activer l'autorisation binaire.

  5. Sélectionnez Audit uniquement, puis configurez une ou plusieurs règles de plate-forme sur lesquelles vous souhaitez que l'autorisation binaire évalue votre cluster.

  6. Cliquez sur Créer.

gcloud

  1. Définissez votre projet Google Cloud par défaut :

    gcloud config set project PROJECT_ID
    
  2. Créez le cluster.

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • CLUSTER_NAME : nom du cluster.
    • LOCATION : emplacement (par exemple : us-central1 ou asia-south1)
    • POLICY_PROJECT_ID_1 : ID du projet dans lequel la première règle de plate-forme est stockée.
    • POLICY_ID_1 : ID de règle de la première règle de plate-forme.
    • POLICY_PROJECT_ID_2 : ID du projet dans lequel la deuxième règle de plate-forme est stockée. Plusieurs règles peuvent être stockées dans le même projet ou dans des projets différents.
    • POLICY_ID_2 : ID de règle de la deuxième règle de plate-forme.
    • CLUSTER_PROJECT_ID : ID de projet du cluster.

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
        --project=CLUSTER_PROJECT_ID

La création du cluster peut prendre quelques minutes.

Créer un cluster de CV qui utilise plusieurs règles de plate-forme (audit et application)

L'autorisation binaire fonctionne avec les clusters Autopilot ou Standard.

Vous pouvez créer des clusters auxquels plusieurs règles de plate-forme sont associées (consultez la page Documentation de référence de l'API GKE pour plus d'informations).

Console

Les étapes suivantes permettent de configurer un cluster standard.

  1. Dans la console Google Cloud, accédez à la page GKE.

    Accéder à la page GKE

  2. Cliquez sur Créer un cluster. Renseignez les valeurs des champs par défaut, comme indiqué sur la page Créer un cluster zonal.

  3. Dans le menu de navigation, cliquez sur Sécurité.

  4. Sélectionnez Activer l'autorisation binaire.

  5. Sélectionnez Audit et application, puis configurez des règles d'audit.

  6. Cliquez sur Créer.

gcloud

  1. Définissez votre projet Google Cloud par défaut :

    gcloud config set project PROJECT_ID
    
  2. Créez un cluster qui utilise à la fois l'application des règles de projet unique et l'audit basé sur des règles de plate-forme de CV :

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • CLUSTER_NAME : nom du cluster.
    • LOCATION : emplacement (par exemple : us-central1 ou asia-south1)
    • POLICY_PROJECT_ID_1 : ID du projet dans lequel la première règle de plate-forme est stockée.
    • POLICY_ID_1 : ID de règle de la première règle de plate-forme.
    • POLICY_PROJECT_ID_2 : ID du projet dans lequel la deuxième règle de plate-forme est stockée. Plusieurs règles peuvent être stockées dans le même projet ou dans des projets différents.
    • POLICY_ID_2 : ID de règle de la deuxième règle de plate-forme.
    • CLUSTER_PROJECT_ID : ID de projet du cluster.

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
        --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
        --location=LOCATION `
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
        --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
        --location=LOCATION ^
        --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
        --project=CLUSTER_PROJECT_ID

La création du cluster peut prendre quelques minutes.

Vérifier que l'autorisation binaire est activée

Pour vérifier que l'autorisation binaire est activée pour le cluster, procédez comme suit :

Console

  1. Accédez à la page GKE dans la console Google Cloud.

    Accéder à la page GKE

  2. Sous Clusters Kubernetes, recherchez votre cluster.

  3. Sous Sécurité, vérifiez que l'autorisation binaire est définie sur Activé.

gcloud

Pour répertorier les liaisons de stratégie pour votre cluster, procédez comme suit :

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Notez que la liste des liaisons de stratégies peut contenir des informations supplémentaires.

Étapes suivantes