Crea un cluster

Questa pagina spiega come creare un cluster in Google Kubernetes Engine (GKE) con Autorizzazione binaria abilitata. Puoi eseguire questo passaggio dalla riga di comando utilizzando i comandi gcloud o nella console Google Cloud. Questo passaggio fa parte della configurazione di Autorizzazione binaria per GKE.

Prima di iniziare

Se non lo hai già fatto:

Crea un cluster con Autorizzazione binaria abilitata

Per creare un cluster con Autorizzazione binaria abilitata, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina GKE.

    Vai a GKE

  2. Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.

  3. Nel menu di navigazione a sinistra, fai clic su Sicurezza.

  4. Seleziona Abilita Autorizzazione binaria.

  5. Seleziona Solo applicazione forzata.

  6. Fai clic su Crea.

gcloud

  1. Imposta il tuo progetto Google Cloud predefinito eseguendo questo comando:

    gcloud config set project PROJECT_ID
    

    Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.

  2. Crea il cluster.

    Inserisci questo comando:

    gcloud container clusters create  CLUSTER_NAME \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --zone ZONE
    

    Sostituisci quanto segue:

    • CLUSTER_NAME: il nome del cluster che vuoi creare, ad esempio test-cluster.
    • ZONE: la zona GKE, ad esempio us-central1-a.

La creazione del cluster può richiedere alcuni minuti.

Abilita Autorizzazione binaria su un cluster esistente

Per abilitare Autorizzazione binaria su un cluster esistente, procedi nel seguente modo:

Console

  1. Nella console Google Cloud, vai alla pagina GKE.

    Vai a GKE

  2. In Cluster Kubernetes, individua il tuo cluster.

  3. Fai clic sul nome del cluster.

  4. In Cluster, in Sicurezza, individua Autorizzazione binaria e fai clic su .

  5. Seleziona Abilita Autorizzazione binaria.

  6. Seleziona Solo applicazione forzata.

  7. Fai clic su Salva modifiche.

gcloud

  1. Imposta il tuo progetto Google Cloud predefinito eseguendo questo comando:

    gcloud config set project PROJECT_ID
    

    Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.

  2. Aggiornare il cluster.

    Inserisci questo comando:

    gcloud container clusters update CLUSTER_NAME \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --zone ZONE
    

    Sostituisci quanto segue:

    • CLUSTER_NAME: il nome del cluster per cui vuoi abilitare Autorizzazione binaria
    • ZONE: la zona GKE, ad esempio us-central1-a

    Nei cluster possono essere abilitate sia l'applicazione forzata di Autorizzazione binaria sia il monitoraggio dei CV. Per modificare le impostazioni di monitoraggio e applicazione delle norme, imposta --binauthz-evaluation-mode su uno dei seguenti valori:

    • POLICY_BINDINGS: abilita solo il monitoraggio dei CV e disabilita un criterio di applicazione esistente se ne esiste uno
    • PROJECT_SINGLETON_POLICY_ENFORCE: consente l'applicazione forzata e disabilita il monitoraggio del CV se era stato abilitato in precedenza
    • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: abilita sia l'applicazione delle norme che il monitoraggio dei CV

    Per scoprire di più sui criteri dei CV e sulla gestione dei cluster, consulta Gestire i criteri della piattaforma CV.

Verifica che Autorizzazione binaria sia abilitata

Per verificare che Autorizzazione binaria sia abilitata per il cluster, segui questi passaggi:

Console

  1. Apri la pagina GKE nella console Google Cloud.

    Vai a GKE

  2. In Cluster Kubernetes, individua il cluster.

  3. In Sicurezza, verifica che l'opzione Autorizzazione binaria sia impostata su Attivata.

gcloud

Per elencare i cluster in esecuzione nel progetto, esegui il comando seguente:

gcloud container clusters list

Facoltativamente, puoi limitare la scheda a una zona di computing specifica aggiungendo --zone ZONE al comando.

Sostituisci ZONE con una zona, ad esempio us-central1-a.

Passaggi successivi