이 페이지에서는 Binary Authorization이 사용 설정된 Google Kubernetes Engine(GKE)에서 클러스터를 만드는 방법을 설명합니다. 이 단계는 명령줄에서 gcloud
명령어를 사용하거나 Google Cloud 콘솔에서 수행합니다. 이 단계는 GKE용 Binary Authorization 설정의 일부입니다.
시작하기 전에
아직 수행하지 않은 경우 다음을 수행하세요.
Binary Authorization을 사용 설정합니다.
-
GKE API 사용 설정
Binary Authorization이 사용 설정된 클러스터 만들기
Binary Authorization이 사용 설정된 클러스터를 만들려면 다음 안내를 따르세요.
Console
Google Cloud Console에서 GKE 페이지로 이동합니다.
클러스터 만들기를 클릭합니다. 영역 클러스터 만들기의 설명대로 기본 필드의 값을 입력합니다.
왼쪽 탐색 메뉴에서 보안을 클릭합니다.
Binary Authorization 사용 설정을 선택합니다.
시행 전용을 선택합니다.
만들기를 클릭합니다.
gcloud
다음 명령어를 실행하여 기본 Google Cloud 프로젝트를 설정합니다.
gcloud config set project PROJECT_ID
PROJECT_ID를 클러스터를 만들려는 프로젝트의 ID로 바꿉니다.
클러스터를 만듭니다.
다음 명령어를 입력합니다.
gcloud container clusters create CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone ZONE
다음을 바꿉니다.
- CLUSTER_NAME: 만들려는 클러스터의 이름입니다(예:
test-cluster
). - ZONE: GKE 영역입니다(예:
us-central1-a
).
- CLUSTER_NAME: 만들려는 클러스터의 이름입니다(예:
클러스터를 만드는 데 몇 분 정도 걸릴 수 있습니다.
기존 클러스터에서 Binary Authorization 사용 설정
기존 클러스터에서 Binary Authorization을 사용 설정하려면 다음 안내를 따르세요.
Console
Google Cloud Console에서 GKE 페이지로 이동합니다.
Kubernetes 클러스터에서 클러스터를 찾습니다.
클러스터 이름을 클릭합니다.
클러스터의 보안에서 Binary Authorization을 찾아
을 클릭합니다.Binary Authorization 사용 설정을 선택합니다.
시행 전용을 선택합니다.
변경사항 저장을 클릭합니다.
gcloud
다음 명령어를 실행하여 기본 Google Cloud 프로젝트를 설정합니다.
gcloud config set project PROJECT_ID
PROJECT_ID를 클러스터를 만들려는 프로젝트의 ID로 바꿉니다.
클러스터를 업데이트합니다.
다음 명령어를 입력합니다.
gcloud container clusters update CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone ZONE
다음을 바꿉니다.
- CLUSTER_NAME: Binary Authorization을 사용 설정할 클러스터의 이름입니다.
- ZONE: GKE 영역입니다(예:
us-central1-a
).
클러스터에 Binary Authorization 시행 및 CV 모니터링을 모두 사용 설정할 수 있습니다. CV 모니터링 및 시행 설정을 변경하려면
--binauthz-evaluation-mode
를 다음 값 중 하나로 설정합니다.POLICY_BINDINGS
: CV 모니터링만 사용 설정하고 기존 시행 정책이 있으면 이를 사용 중지합니다.PROJECT_SINGLETON_POLICY_ENFORCE
: 시행만 사용 설정하고 이전에 사용 설정된 CV 모니터링이 있으면 이를 사용 중지합니다.POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE
: 시행 및 CV 모니터링을 사용 설정합니다.
CV 정책 및 클러스터 관리에 대한 자세한 내용은 CV 플랫폼 정책 관리를 참조하세요.
Binary Authorization이 사용 설정되어 있는지 확인
클러스터에 Binary Authorization이 사용 설정되어 있는지 확인하려면 다음을 수행합니다.
Console
Google Cloud Console에서 GKE 페이지를 엽니다.
Kubernetes 클러스터에서 클러스터를 찾습니다.
보안에서 Binary Authorization이 사용 설정됨으로 설정되어 있는지 확인합니다.
gcloud
프로젝트에서 실행 중인 클러스터를 나열하려면 다음 명령어를 실행합니다.
gcloud container clusters list
원하는 경우 명령어에 --zone ZONE
을 추가하여 목록을 특정 컴퓨팅 영역으로 제한할 수 있습니다.
ZONE을 영역(예: us-central1-a
)으로 바꿉니다.
다음 단계
- Google Cloud Console, 명령줄 도구 또는 REST API를 사용하여 정책을 구성합니다.