Crea un cluster

Questa pagina spiega come creare un cluster in Google Kubernetes Engine (GKE) con Autorizzazione binaria abilitata. Puoi eseguire questo passaggio dalla riga di comando utilizzando i comandi gcloud o nella console Google Cloud. Questo passaggio fa parte della configurazione di Autorizzazione binaria per GKE.

Prima di iniziare

Se non lo hai già fatto:

Abilita Autorizzazione binaria.
Attiva l'API GKE.
Abilita l'API

Crea un cluster con Autorizzazione binaria abilitata

Per creare un cluster con Autorizzazione binaria abilitata, segui questi passaggi:

Console

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
Fai clic su Crea cluster. Inserisci i valori per i campi predefiniti come descritto in Creazione di un cluster di zona.
Nel menu di navigazione a sinistra, fai clic su Sicurezza.
Seleziona Abilita Autorizzazione binaria.
Seleziona Solo applicazione forzata.
Fai clic su Crea.

gcloud

Imposta il tuo progetto Google Cloud predefinito eseguendo questo comando:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Crea il cluster.

Inserisci questo comando:
```
gcloud container clusters create  CLUSTER_NAME \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --zone ZONE
```
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del cluster che vuoi creare, ad esempio test-cluster.
- ZONE: la zona GKE, ad esempio us-central1-a.

La creazione del cluster può richiedere alcuni minuti.

Abilita Autorizzazione binaria su un cluster esistente

Per abilitare Autorizzazione binaria su un cluster esistente, procedi nel seguente modo:

Console

Nella console Google Cloud, vai alla pagina GKE.

Vai a GKE
In Cluster Kubernetes, individua il tuo cluster.
Fai clic sul nome del cluster.
In Cluster, in Sicurezza, individua Autorizzazione binaria e fai clic su .
Seleziona Abilita Autorizzazione binaria.
Seleziona Solo applicazione forzata.
Fai clic su Salva modifiche.

gcloud

Imposta il tuo progetto Google Cloud predefinito eseguendo questo comando:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi creare il cluster.
Aggiornare il cluster.

Inserisci questo comando:
```
gcloud container clusters update CLUSTER_NAME \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --zone ZONE
```
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del cluster per cui vuoi abilitare Autorizzazione binaria
- ZONE: la zona GKE, ad esempio us-central1-a
Nei cluster possono essere abilitate sia l'applicazione forzata di Autorizzazione binaria sia il monitoraggio dei CV. Per modificare le impostazioni di monitoraggio e applicazione delle norme, imposta --binauthz-evaluation-mode su uno dei seguenti valori:
- POLICY_BINDINGS: abilita solo il monitoraggio dei CV e disabilita un criterio di applicazione esistente se ne esiste uno
- PROJECT_SINGLETON_POLICY_ENFORCE: consente l'applicazione forzata e disabilita il monitoraggio del CV se era stato abilitato in precedenza
- POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: abilita sia l'applicazione delle norme che il monitoraggio dei CV
Per scoprire di più sui criteri dei CV e sulla gestione dei cluster, consulta Gestire i criteri della piattaforma CV.

Verifica che Autorizzazione binaria sia abilitata

Per verificare che Autorizzazione binaria sia abilitata per il cluster, segui questi passaggi:

Console

Apri la pagina GKE nella console Google Cloud.

Vai a GKE
In Cluster Kubernetes, individua il cluster.
In Sicurezza, verifica che l'opzione Autorizzazione binaria sia impostata su Attivata.

gcloud

Per elencare i cluster in esecuzione nel progetto, esegui il comando seguente:

gcloud container clusters list

Facoltativamente, puoi limitare la scheda a una zona di computing specifica aggiungendo --zone ZONE al comando.

Sostituisci ZONE con una zona, ad esempio us-central1-a.

Passaggi successivi

Configurare un criterio utilizzando la console Google Cloud, lo strumento a riga di comando o l'API REST.