이 페이지에서는 Binary Authorization이 사용 설정된 Google Kubernetes Engine(GKE)에서 클러스터를 만드는 방법을 설명합니다. 이 단계는 명령줄에서 gcloud
명령어를 사용하거나 Google Cloud 콘솔에서 수행합니다. 이 단계는 GKE용 Binary Authorization 설정의 일부입니다.
시작하기 전에
Binary Authorization을 사용 설정합니다.
-
Enable the GKE API.
Google Cloud 콘솔, 명령줄 도구 또는 REST API를 사용하여 플랫폼 정책을 구성합니다.
Binary Authorization이 사용 설정된 클러스터 만들기(CV 모니터링 전용)
Binary Authorization은 Autopilot 또는 Standard 클러스터에서 작동합니다. 모니터링 전용 평가 모드를 구성하려면 검사 기반 플랫폼 정책을 하나 이상 지정해야 합니다.
CV 모니터링만으로 Binary Authorization이 사용 설정된 클러스터를 만들려면 다음을 수행합니다.
콘솔
다음 단계에서는 표준 클러스터를 구성합니다.
Google Cloud 콘솔에서 GKE 페이지로 이동합니다.
클러스터 만들기를 클릭합니다. 영역 클러스터 만들기의 설명대로 기본 필드의 값을 입력합니다.
탐색 메뉴에서 보안을 클릭합니다.
Binary Authorization 사용 설정을 선택합니다. 1. 감사 전용을 선택하고 Binary Authorization이 클러스터 이미지를 평가할 때 기준으로 사용할 CV 검사 기반 플랫폼 정책을 구성합니다.
만들기를 클릭합니다.
gcloud
기본 Google Cloud 프로젝트를 설정합니다.
gcloud config set project PROJECT_ID
PROJECT_ID
를 클러스터를 만들려는 프로젝트의 ID로 바꿉니다.CV 플랫폼 정책 기반 모니터링만 사용하는 클러스터를 만듭니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
CLUSTER_NAME
: 클러스터 이름입니다.LOCATION
: 위치입니다(예:us-central1
또는asia-south1
).POLICY_PROJECT_ID
: 정책이 저장된 프로젝트의 ID입니다.POLICY_ID
: 정책 IDCLUSTER_PROJECT_ID
: 클러스터 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
클러스터를 만드는 데 몇 분 정도 걸릴 수 있습니다.
Binary Authorization이 사용 설정된 클러스터 만들기(시행 전용)
Binary Authorization은 Autopilot 또는 Standard 클러스터에서 작동합니다. 시행 정책은 기본적으로 모든 이미지를 허용하는 프로젝트 정책으로 설정됩니다. 프로젝트 정책을 변경하려면 이 안내를 따르세요.
시행만 사용 설정된 Binary Authorization이 사용 설정된 클러스터를 만들려면 다음 안내를 따르세요.
콘솔
다음 단계에서는 표준 클러스터를 구성합니다.
Google Cloud 콘솔에서 GKE 페이지로 이동합니다.
클러스터 만들기를 클릭합니다. 영역 클러스터 만들기의 설명대로 기본 필드의 값을 입력합니다.
탐색 메뉴에서 보안을 클릭합니다.
Binary Authorization 사용 설정을 선택합니다.
시행 전용을 선택합니다.
만들기를 클릭합니다.
gcloud
기본 Google Cloud 프로젝트를 설정합니다.
gcloud config set project PROJECT_ID
PROJECT_ID
를 클러스터를 만들려는 프로젝트의 ID로 바꿉니다.정책 시행만 사용하는 클러스터를 만듭니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
CLUSTER_NAME
: 클러스터 이름입니다.LOCATION
: 위치입니다(예:us-central1
또는asia-south1
).CLUSTER_PROJECT_ID
: 클러스터 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --project=CLUSTER_PROJECT_ID
Terraform
다음 Terraform 예에서는 Standard 클러스터를 만들고 구성합니다.
Terraform 사용에 대한 자세한 내용은 GKE에 대한 Terraform 지원을 참조하세요.
클러스터를 만드는 데 몇 분 정도 걸릴 수 있습니다.
Binary Authorization이 사용 설정된 클러스터 만들기(CV 모니터링 및 시행)
Binary Authorization은 Autopilot 또는 Standard 클러스터에서 작동합니다.
시행 시 정책은 기본적으로 모든 이미지를 허용하는 프로젝트 정책으로 설정됩니다. 프로젝트 정책을 변경하려면 이 안내를 따르세요.
CV 모니터링의 경우 CV 검사 기반 플랫폼 정책을 하나 이상 지정해야 합니다.
CV 모니터링 및 시행이 모두 설정된 Binary Authorization으로 클러스터를 만들려면 다음을 수행합니다.
콘솔
다음 단계에서는 표준 클러스터를 구성합니다.
Google Cloud 콘솔에서 GKE 페이지로 이동합니다.
클러스터 만들기를 클릭합니다. 영역 클러스터 만들기의 설명대로 기본 필드의 값을 입력합니다.
탐색 메뉴에서 보안을 클릭합니다.
Binary Authorization 사용 설정을 선택합니다.
감사 및 시행을 선택하고 CV 검사 기반 플랫폼 정책을 구성합니다.
만들기를 클릭합니다.
gcloud
기본 Google Cloud 프로젝트를 설정합니다.
gcloud config set project PROJECT_ID
PROJECT_ID를 클러스터를 만들려는 프로젝트의 ID로 바꿉니다.
프로젝트 싱글톤 정책 시행과 CV 플랫폼 정책 기반 모니터링을 모두 사용하는 클러스터를 만듭니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
CLUSTER_NAME
: 클러스터 이름입니다.LOCATION
: 위치입니다(예:us-central1
또는asia-south1
).POLICY_PROJECT_ID
: 정책이 저장된 프로젝트의 ID입니다.POLICY_ID
: 정책 IDCLUSTER_PROJECT_ID
: 클러스터 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
클러스터를 만드는 데 몇 분 정도 걸릴 수 있습니다.
여러 플랫폼 정책을 사용하는 CV 클러스터 만들기(CV 모니터링 전용)
Binary Authorization은 Autopilot 또는 Standard 클러스터에서 작동합니다.
여러 플랫폼 정책이 바인딩된 클러스터를 만들 수 있습니다(자세한 내용은 GKE API 참조 확인).
콘솔
다음 단계에서는 표준 클러스터를 구성합니다.
Google Cloud 콘솔에서 GKE 페이지로 이동합니다.
클러스터 만들기를 클릭합니다. 영역 클러스터 만들기의 설명대로 기본 필드의 값을 입력합니다.
탐색 메뉴에서 보안을 클릭합니다.
Binary Authorization 사용 설정을 선택합니다.
감사 전용을 선택하고 Binary Authorization이 클러스터를 평가할 때 기준으로 사용할 플랫폼 정책을 하나 이상 구성합니다.
만들기를 클릭합니다.
gcloud
기본 Google Cloud 프로젝트를 설정합니다.
gcloud config set project PROJECT_ID
클러스터를 만듭니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
CLUSTER_NAME
: 클러스터 이름입니다.LOCATION
: 위치입니다(예:us-central1
또는asia-south1
).POLICY_PROJECT_ID_1
: 첫 번째 플랫폼 정책이 저장된 프로젝트의 ID입니다.POLICY_ID_1
: 첫 번째 플랫폼 정책의 정책 ID입니다.POLICY_PROJECT_ID_2
: 두 번째 플랫폼 정책이 저장된 프로젝트의 ID. 여러 정책을 동일한 프로젝트 또는 서로 다른 프로젝트에 저장할 수 있습니다.POLICY_ID_2
: 두 번째 플랫폼 정책의 정책 ID입니다.CLUSTER_PROJECT_ID
: 클러스터 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
클러스터를 만드는 데 몇 분 정도 걸릴 수 있습니다.
여러 플랫폼 정책을 사용하는 CV 클러스터 만들기(CV 모니터링 및 시행)
Binary Authorization은 Autopilot 또는 Standard 클러스터에서 작동합니다.
여러 플랫폼 정책이 바인딩된 클러스터를 만들 수 있습니다(자세한 내용은 GKE API 참조 확인).
콘솔
다음 단계에서는 표준 클러스터를 구성합니다.
Google Cloud 콘솔에서 GKE 페이지로 이동합니다.
클러스터 만들기를 클릭합니다. 영역 클러스터 만들기의 설명대로 기본 필드의 값을 입력합니다.
탐색 메뉴에서 보안을 클릭합니다.
Binary Authorization 사용 설정을 선택합니다.
감사 및 시행을 선택하고 CV 모니터링 정책을 구성합니다.
만들기를 클릭합니다.
gcloud
기본 Google Cloud 프로젝트를 설정합니다.
gcloud config set project PROJECT_ID
프로젝트 싱글톤 정책 시행과 CV 플랫폼 정책 기반 모니터링을 모두 사용하는 클러스터를 만듭니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
CLUSTER_NAME
: 클러스터 이름입니다.LOCATION
: 위치입니다(예:us-central1
또는asia-south1
).POLICY_PROJECT_ID_1
: 첫 번째 플랫폼 정책이 저장된 프로젝트의 ID입니다.POLICY_ID_1
: 첫 번째 플랫폼 정책의 정책 ID입니다.POLICY_PROJECT_ID_2
: 두 번째 플랫폼 정책이 저장된 프로젝트의 ID. 여러 정책을 동일한 프로젝트 또는 서로 다른 프로젝트에 저장할 수 있습니다.POLICY_ID_2
: 두 번째 플랫폼 정책의 정책 ID입니다.CLUSTER_PROJECT_ID
: 클러스터 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
클러스터를 만드는 데 몇 분 정도 걸릴 수 있습니다.
Binary Authorization이 사용 설정되어 있는지 확인
클러스터에 Binary Authorization이 사용 설정되어 있는지 확인하려면 다음을 수행합니다.
콘솔
Google Cloud Console에서 GKE 페이지를 엽니다.
Kubernetes 클러스터에서 클러스터를 찾습니다.
보안에서 Binary Authorization이 사용 설정됨으로 설정되어 있는지 확인합니다.
gcloud
클러스터의 정책 바인딩을 나열하려면 다음 안내를 따르세요.
gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:
정책 바인딩 목록 다음에 추가 정보가 있을 수 있습니다.