Crea un cluster

Questa pagina spiega come creare un cluster in Google Kubernetes Engine (GKE) con Autorizzazione binaria abilitata. Puoi eseguire questo passaggio dalla riga di comando utilizzando i comandi gcloud o nella console Google Cloud. Questo passaggio fa parte della configurazione di Autorizzazione binaria per GKE.

Prima di iniziare

Abilita Autorizzazione binaria.
Attiva l'API GKE.
Abilita l'API

Configura un criterio della piattaforma utilizzando la console Google Cloud, lo strumento a riga di comando o l'API REST.

Crea un cluster con Autorizzazione binaria abilitata (solo controllo)

Autorizzazione binaria funziona con cluster Autopilot o Standard. Per configurare la modalità di valutazione di solo controllo, devi specificare almeno un criterio della piattaforma.

Per creare un cluster con Autorizzazione binaria abilitata solo con il controllo, procedi nel seguente modo:

Console

I passaggi seguenti configurano un cluster Standard.

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Solo audit e configura i criteri di controllo in base ai quali vuoi che Autorizzazione binaria valuti le immagini del tuo cluster.
Fai clic su Crea.

gcloud

Imposta il progetto Google Cloud predefinito:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Crea un cluster che utilizza solo il controllo basato su criteri della piattaforma CV:

Prima di utilizzare uno qualsiasi dei dati del comando riportati di seguito, apporta le seguenti sostituzioni:
- CLUSTER_NAME: il nome di un cluster.
- LOCATION: la località, ad esempio us-central1 o asia-south1.
- POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterio.
- POLICY_ID: l'ID criterio.
- CLUSTER_PROJECT_ID: l'ID progetto del cluster.
Esegui questo comando seguente:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

La creazione del cluster può richiedere alcuni minuti.

Crea un cluster con Autorizzazione binaria abilitata (solo applicazione forzata)

Autorizzazione binaria funziona con cluster Autopilot o Standard. Il criterio di applicazione è impostato sul criterio del progetto che consente per impostazione predefinita tutte le immagini. Per modificare il criterio del progetto, segui queste istruzioni.

Per creare un cluster con Autorizzazione binaria abilitata e solo l'applicazione forzata, segui questi passaggi:

Console

I passaggi seguenti configurano un cluster Standard.

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Solo applicazione forzata.
Fai clic su Crea.

gcloud

Imposta il progetto Google Cloud predefinito:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Crea un cluster che utilizza solo l'applicazione dei criteri:

Prima di utilizzare uno qualsiasi dei dati del comando riportati di seguito, apporta le seguenti sostituzioni:
- CLUSTER_NAME: il nome di un cluster.
- LOCATION: la località, ad esempio us-central1 o asia-south1.
- CLUSTER_PROJECT_ID: l'ID progetto del cluster.
Esegui questo comando seguente:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID
```

La creazione del cluster può richiedere alcuni minuti.

Crea un cluster con Autorizzazione binaria abilitata (controllo e applicazione)

Autorizzazione binaria funziona con cluster Autopilot o Standard.

Il criterio di applicazione è impostato sul criterio del progetto che consente per impostazione predefinita tutte le immagini. Per modificare il criterio del progetto, segui queste istruzioni.

Puoi configurare i criteri della piattaforma di controllo. Per il controllo, devi specificare almeno un criterio della piattaforma.

Per creare un cluster con Autorizzazione binaria abilitata sia per il controllo che per l'applicazione forzata:

Console

I passaggi seguenti configurano un cluster Standard.

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Controlla e applica e configura i criteri di controllo.
Fai clic su Crea.

gcloud

Imposta il progetto Google Cloud predefinito:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Crea un cluster che utilizza sia l'applicazione dei criteri per singolo progetto sia il controllo basato su criteri della piattaforma CV:

Prima di utilizzare uno qualsiasi dei dati del comando riportati di seguito, apporta le seguenti sostituzioni:
- CLUSTER_NAME: il nome di un cluster.
- LOCATION: la località, ad esempio us-central1 o asia-south1.
- POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterio.
- POLICY_ID: l'ID criterio.
- CLUSTER_PROJECT_ID: l'ID progetto del cluster.
Esegui questo comando seguente:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

La creazione del cluster può richiedere alcuni minuti.

Crea un cluster CV che utilizza più criteri della piattaforma (solo controllo)

Autorizzazione binaria funziona con cluster Autopilot o Standard.

Puoi creare cluster a cui sono associati più criteri della piattaforma (per ulteriori informazioni, consulta la documentazione di riferimento sull'API GKE).

Console

I passaggi seguenti configurano un cluster Standard.

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Solo audit e configura uno o più criteri della piattaforma in base ai quali valutare il cluster con Autorizzazione binaria.
Fai clic su Crea.

gcloud

Imposta il progetto Google Cloud predefinito:
```
gcloud config set project PROJECT_ID
```
Crea il cluster.

Prima di utilizzare uno qualsiasi dei dati del comando riportati di seguito, apporta le seguenti sostituzioni:
- CLUSTER_NAME: il nome di un cluster.
- LOCATION: la località, ad esempio us-central1 o asia-south1.
- POLICY_PROJECT_ID_1: l'ID del progetto in cui è archiviato il primo criterio della piattaforma.
- POLICY_ID_1: l'ID del primo criterio della piattaforma.
- POLICY_PROJECT_ID_2: l'ID del progetto in cui è archiviato il secondo criterio della piattaforma. È possibile archiviare più criteri nello stesso progetto o in progetti diversi.
- POLICY_ID_2: l'ID del criterio della seconda piattaforma.
- CLUSTER_PROJECT_ID: l'ID progetto del cluster.
Esegui questo comando seguente:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

La creazione del cluster può richiedere alcuni minuti.

Crea un cluster CV che utilizza più criteri della piattaforma (controllo e applicazione)

Autorizzazione binaria funziona con cluster Autopilot o Standard.

Puoi creare cluster a cui sono associati più criteri della piattaforma (per ulteriori informazioni, consulta la pagina di riferimento sull'API GKE).

Console

I passaggi seguenti configurano un cluster Standard.

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Controlla e applica e configura i criteri di controllo.
Fai clic su Crea.

gcloud

Imposta il progetto Google Cloud predefinito:
```
gcloud config set project PROJECT_ID
```
Crea un cluster che utilizza sia l'applicazione dei criteri per singolo progetto sia il controllo basato su criteri della piattaforma CV:

Prima di utilizzare uno qualsiasi dei dati del comando riportati di seguito, apporta le seguenti sostituzioni:
- CLUSTER_NAME: il nome di un cluster.
- LOCATION: la località, ad esempio us-central1 o asia-south1.
- POLICY_PROJECT_ID_1: l'ID del progetto in cui è archiviato il primo criterio della piattaforma.
- POLICY_ID_1: l'ID del primo criterio della piattaforma.
- POLICY_PROJECT_ID_2: l'ID del progetto in cui è archiviato il secondo criterio della piattaforma. È possibile archiviare più criteri nello stesso progetto o in progetti diversi.
- POLICY_ID_2: l'ID del criterio della seconda piattaforma.
- CLUSTER_PROJECT_ID: l'ID progetto del cluster.
Esegui questo comando seguente:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init oppure gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

La creazione del cluster può richiedere alcuni minuti.

Verificare che Autorizzazione binaria sia abilitata

Per verificare che Autorizzazione binaria sia abilitata per il cluster:

Console

Apri la pagina GKE nella console Google Cloud.

Vai a GKE
In Cluster Kubernetes, individua il tuo cluster.
In Sicurezza, verifica che Autorizzazione binaria sia impostata su Abilitata.

gcloud

Per elencare le associazioni di criteri per il cluster:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Tieni presente che potrebbero essere presenti informazioni aggiuntive dopo la scheda di associazione dei criteri.

Crea un cluster

Prima di iniziare

Crea un cluster con Autorizzazione binaria abilitata (solo controllo)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crea un cluster con Autorizzazione binaria abilitata (solo applicazione forzata)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crea un cluster con Autorizzazione binaria abilitata (controllo e applicazione)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crea un cluster CV che utilizza più criteri della piattaforma (solo controllo)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Crea un cluster CV che utilizza più criteri della piattaforma (controllo e applicazione)

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Verificare che Autorizzazione binaria sia abilitata

Console

gcloud

Passaggi successivi