Membuat cluster

Halaman ini menjelaskan cara membuat cluster di Google Kubernetes Engine (GKE) dengan Otorisasi Biner diaktifkan. Anda melakukan langkah ini di command line menggunakan perintah gcloud atau di konsol Google Cloud . Langkah ini merupakan bagian dari penyiapan Otorisasi Biner untuk GKE.

Sebelum memulai

Membuat cluster dengan Otorisasi Biner diaktifkan (khusus pemantauan CV)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard. Untuk mengonfigurasi mode evaluasi khusus pemantauan, Anda harus menentukan setidaknya satu kebijakan platform berbasis pemeriksaan.

Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan hanya dengan pemantauan CV, lakukan hal berikut:

Konsol

Langkah-langkah berikut mengonfigurasi cluster Standard.

  1. Di Google Cloud console, buka halaman GKE.

    Buka GKE

  2. Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan di bagian Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Aktifkan Otorisasi Biner. 1. Pilih Khusus audit dan konfigurasi kebijakan platform berbasis pemeriksaan CV yang Anda inginkan untuk digunakan Otorisasi Biner dalam mengevaluasi image cluster Anda.

  5. Klik Buat.

gcloud

  1. Tetapkan project Google Cloud default Anda:

    gcloud config set project PROJECT_ID

    Ganti PROJECT_ID dengan ID project tempat Anda ingin membuat cluster.

  2. Buat cluster yang hanya menggunakan pemantauan berbasis kebijakan platform CV:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi—misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan.
    • POLICY_ID: ID kebijakan.
    • CLUSTER_PROJECT_ID: project ID cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Diperlukan waktu beberapa menit untuk membuat cluster Anda.

Membuat cluster dengan Otorisasi Biner diaktifkan (khusus penerapan)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard. Kebijakan penerapan ditetapkan ke kebijakan project yang secara default mengizinkan semua gambar. Untuk mengubah kebijakan project, ikuti petunjuk ini.

Untuk membuat cluster dengan Otorisasi Biner diaktifkan dengan hanya penegakan yang diaktifkan, lakukan hal berikut:

Konsol

Langkah-langkah berikut mengonfigurasi cluster Standard.

  1. Di Google Cloud console, buka halaman GKE.

    Buka GKE

  2. Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Aktifkan Otorisasi Biner.

  5. Pilih Khusus penerapan.

  6. Klik Buat.

gcloud

  1. Tetapkan project Google Cloud default Anda:

    gcloud config set project PROJECT_ID

    Ganti PROJECT_ID dengan ID project tempat Anda ingin membuat cluster.

  2. Buat cluster yang hanya menggunakan penegakan kebijakan:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi—misalnya, us-central1 atau asia-south1.
    • CLUSTER_PROJECT_ID: project ID cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID

Terraform

Contoh Terraform berikut membuat dan mengonfigurasi cluster Standar:

resource "google_container_cluster" "default" {
  name               = "gke-standard-regional-binauthz-enforce"
  location           = "us-west1"
  initial_node_count = 1

  binary_authorization {
    evaluation_mode = "PROJECT_SINGLETON_POLICY_ENFORCE"
  }
}

Untuk mempelajari lebih lanjut cara menggunakan Terraform, lihat Dukungan Terraform untuk GKE.

Diperlukan waktu beberapa menit untuk membuat cluster Anda.

Buat cluster dengan Otorisasi Biner diaktifkan (pemantauan dan penerapan CV)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard.

Untuk penegakan, kebijakan ditetapkan ke kebijakan project yang secara default mengizinkan semua gambar. Untuk mengubah kebijakan project, ikuti petunjuk ini.

Untuk pemantauan CV, Anda harus menentukan setidaknya satu kebijakan platform berbasis pemeriksaan CV.

Untuk membuat cluster dengan Otorisasi Biner yang diaktifkan dengan pemantauan dan penegakan CV, lakukan hal berikut:

Konsol

Langkah-langkah berikut mengonfigurasi cluster Standard.

  1. Di Google Cloud console, buka halaman GKE.

    Buka GKE

  2. Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Aktifkan Otorisasi Biner.

  5. Pilih Audit dan Terapkan, lalu konfigurasi kebijakan platform berbasis pemeriksaan CV.

  6. Klik Buat.

gcloud

  1. Tetapkan project Google Cloud default Anda:

    gcloud config set project PROJECT_ID

    Ganti PROJECT_ID dengan ID project tempat Anda ingin membuat cluster.

  2. Buat cluster yang menggunakan penegakan kebijakan singleton project dan pemantauan berbasis kebijakan platform CV:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi—misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan.
    • POLICY_ID: ID kebijakan.
    • CLUSTER_PROJECT_ID: project ID cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Diperlukan waktu beberapa menit untuk membuat cluster Anda.

Membuat cluster CV yang menggunakan beberapa kebijakan platform (khusus pemantauan CV)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard.

Anda dapat membuat cluster dengan beberapa kebijakan platform yang terikat padanya (lihat Referensi GKE API untuk mengetahui informasi selengkapnya).

Konsol

Langkah-langkah berikut mengonfigurasi cluster Standard.

  1. Di Google Cloud console, buka halaman GKE.

    Buka GKE

  2. Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Aktifkan Otorisasi Biner.

  5. Pilih Khusus audit dan konfigurasi satu atau beberapa kebijakan platform yang Anda inginkan Binary Authorization untuk mengevaluasi cluster Anda.

  6. Klik Buat.

gcloud

  1. Tetapkan project Google Cloud default Anda:

    gcloud config set project PROJECT_ID

  2. Buat cluster.

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi — misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID_1: ID project tempat kebijakan platform pertama disimpan.
    • POLICY_ID_1: ID kebijakan dari kebijakan platform pertama.
    • POLICY_PROJECT_ID_2: ID project tempat kebijakan platform kedua disimpan. Beberapa kebijakan dapat disimpan dalam project yang sama atau dalam project yang berbeda.
    • POLICY_ID_2: ID kebijakan dari kebijakan platform kedua.
    • CLUSTER_PROJECT_ID: project ID cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID

Diperlukan waktu beberapa menit untuk membuat cluster Anda.

Membuat cluster CV yang menggunakan beberapa kebijakan platform (pemantauan dan penerapan CV)

Otorisasi Biner berfungsi dengan cluster Autopilot atau Standard.

Anda dapat membuat cluster dengan beberapa kebijakan platform yang terikat padanya (lihat Referensi GKE API untuk mengetahui informasi selengkapnya).

Konsol

Langkah-langkah berikut mengonfigurasi cluster Standard.

  1. Di Google Cloud console, buka halaman GKE.

    Buka GKE

  2. Klik Create Cluster. Masukkan nilai untuk kolom default seperti yang dijelaskan dalam Membuat cluster zona.

  3. Di menu navigasi, klik Security.

  4. Pilih Aktifkan Otorisasi Biner.

  5. Pilih Audit dan Terapkan, lalu konfigurasi kebijakan pemantauan CV.

  6. Klik Buat.

gcloud

  1. Tetapkan project Google Cloud default Anda:

    gcloud config set project PROJECT_ID

  2. Buat cluster yang menggunakan penegakan kebijakan singleton project dan pemantauan berbasis kebijakan platform CV:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • CLUSTER_NAME: nama cluster.
    • LOCATION: lokasi — misalnya, us-central1 atau asia-south1.
    • POLICY_PROJECT_ID_1: ID project tempat kebijakan platform pertama disimpan.
    • POLICY_ID_1: ID kebijakan dari kebijakan platform pertama.
    • POLICY_PROJECT_ID_2: ID project tempat kebijakan platform kedua disimpan. Beberapa kebijakan dapat disimpan dalam project yang sama atau dalam project yang berbeda.
    • POLICY_ID_2: ID kebijakan dari kebijakan platform kedua.
    • CLUSTER_PROJECT_ID: project ID cluster.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID

Diperlukan waktu beberapa menit untuk membuat cluster Anda.

Pastikan Otorisasi Biner diaktifkan

Untuk memverifikasi bahwa Otorisasi Biner diaktifkan untuk cluster, lakukan hal berikut:

Konsol

  1. Buka halaman GKE di konsol Google Cloud .

    Buka GKE

  2. Di bagian Kubernetes clusters, temukan cluster Anda.

  3. Di bagian Security, pastikan Binary Authorization disetel ke Enabled.

gcloud

Untuk mencantumkan binding kebijakan untuk cluster Anda, lakukan hal berikut: 

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Perhatikan bahwa mungkin ada informasi tambahan setelah daftar binding kebijakan.

Langkah berikutnya