Questa pagina spiega come creare un cluster in Google Kubernetes Engine (GKE) con Autorizzazione binaria abilitata. Puoi eseguire questo passaggio dalla riga di comando utilizzando i comandi gcloud
o nella console Google Cloud. Questo passaggio fa parte della configurazione di Autorizzazione binaria per GKE.
Prima di iniziare
Se non lo hai già fatto:
Abilita Autorizzazione binaria.
-
Attiva l'API GKE.
Crea un cluster con Autorizzazione binaria abilitata
Per creare un cluster con Autorizzazione binaria abilitata, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina GKE.
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione a sinistra, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Solo applicazione forzata.
Fai clic su Crea.
gcloud
Imposta il tuo progetto Google Cloud predefinito eseguendo questo comando:
gcloud config set project PROJECT_ID
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Crea il cluster.
Inserisci questo comando:
gcloud container clusters create CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone ZONE
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del cluster che vuoi creare, ad esempio
test-cluster
. - ZONE: la zona GKE, ad esempio
us-central1-a
.
- CLUSTER_NAME: il nome del cluster che vuoi creare, ad esempio
La creazione del cluster può richiedere alcuni minuti.
Abilita Autorizzazione binaria su un cluster esistente
Per abilitare Autorizzazione binaria su un cluster esistente, procedi nel seguente modo:
Console
Nella console Google Cloud, vai alla pagina GKE.
In Cluster Kubernetes, individua il tuo cluster.
Fai clic sul nome del cluster.
In Cluster, in Sicurezza, individua Autorizzazione binaria e fai clic su
.Seleziona Abilita Autorizzazione binaria.
Seleziona Solo applicazione forzata.
Fai clic su Salva modifiche.
gcloud
Imposta il tuo progetto Google Cloud predefinito eseguendo questo comando:
gcloud config set project PROJECT_ID
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Aggiornare il cluster.
Inserisci questo comando:
gcloud container clusters update CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone ZONE
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del cluster per cui vuoi abilitare Autorizzazione binaria
- ZONE: la zona GKE, ad esempio
us-central1-a
Nei cluster possono essere abilitate sia l'applicazione forzata di Autorizzazione binaria sia il monitoraggio dei CV. Per modificare le impostazioni di monitoraggio e applicazione delle norme, imposta
--binauthz-evaluation-mode
su uno dei seguenti valori:POLICY_BINDINGS
: abilita solo il monitoraggio dei CV e disabilita un criterio di applicazione esistente se ne esiste unoPROJECT_SINGLETON_POLICY_ENFORCE
: consente l'applicazione forzata e disabilita il monitoraggio del CV se era stato abilitato in precedenzaPOLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE
: abilita sia l'applicazione delle norme che il monitoraggio dei CV
Per scoprire di più sui criteri dei CV e sulla gestione dei cluster, consulta Gestire i criteri della piattaforma CV.
Verifica che Autorizzazione binaria sia abilitata
Per verificare che Autorizzazione binaria sia abilitata per il cluster, segui questi passaggi:
Console
Apri la pagina GKE nella console Google Cloud.
In Cluster Kubernetes, individua il cluster.
In Sicurezza, verifica che l'opzione Autorizzazione binaria sia impostata su Attivata.
gcloud
Per elencare i cluster in esecuzione nel progetto, esegui il comando seguente:
gcloud container clusters list
Facoltativamente, puoi limitare la scheda a una zona di computing specifica
aggiungendo --zone ZONE
al comando.
Sostituisci ZONE con una zona, ad esempio us-central1-a
.
Passaggi successivi
- Configurare un criterio utilizzando la console Google Cloud, lo strumento a riga di comando o l'API REST.