Criar um cluster

Nesta página, explicamos como criar um cluster no Google Kubernetes Engine (GKE) com a autorização binária ativada. Você executa essa etapa na linha de comando usando comandos gcloud ou no Console do Google Cloud. Esta etapa faz parte da configuração da autorização binária para o GKE.

Antes de começar

Ative a autorização binária.
Ative a API GKE.
Ative a API

Configure uma política de plataforma usando o Console do Google Cloud, a ferramenta de linha de comando ou a API REST.

Criar um cluster com a autorização binária ativada (somente auditoria)

A autorização binária funciona com clusters do Autopilot ou Standard. Para configurar o modo de avaliação somente de auditoria, especifique pelo menos uma política de plataforma.

Para criar um cluster com a autorização binária ativada apenas com auditoria, faça o seguinte:

Console

Nas etapas a seguir, você configura um cluster padrão.

No console do Google Cloud, abra a página GKE.

Acessar o GKE
Clique em Criar cluster. Insira valores para os campos padrão, conforme descrito em Como criar um cluster zonal.
No menu de navegação, clique em Segurança.
Selecione Ativar autorização binária.
Selecione Somente auditoria e configure as políticas de auditoria para que a autorização binária avalie as imagens do cluster.
Clique em Criar.

gcloud

Defina seu projeto padrão do Google Cloud:
```
gcloud config set project PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto em que você quer criar o cluster.
Crie um cluster que use apenas a auditoria baseada em políticas da plataforma de CV:

Antes de usar os dados do comando abaixo, faça estas substituições:
- CLUSTER_NAME: um nome de cluster.
- LOCATION: o local, por exemplo, us-central1 ou asia-south1.
- POLICY_PROJECT_ID: o ID do projeto em que a política está armazenada.
- POLICY_ID: o ID da política.
- CLUSTER_PROJECT_ID: o ID do projeto do cluster.
Execute o este comando:
Linux, macOS ou Cloud Shell

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

A criação do cluster pode levar alguns minutos.

Criar um cluster com a autorização binária ativada (somente aplicação)

A autorização binária funciona com clusters do Autopilot ou Standard. A política de aplicação é definida como a política do projeto que, por padrão, permite todas as imagens. Para alterar a política do projeto, siga estas instruções.

Para criar um cluster com a autorização binária ativada apenas com a aplicação ativada, faça o seguinte:

Console

Nas etapas a seguir, você configura um cluster padrão.

No console do Google Cloud, abra a página GKE.

Acessar o GKE
Clique em Criar cluster. Insira valores para os campos padrão, conforme descrito em Como criar um cluster zonal.
No menu de navegação, clique em Segurança.
Selecione Ativar autorização binária.
Selecione Aplicar somente.
Clique em Criar.

gcloud

Defina seu projeto padrão do Google Cloud:
```
gcloud config set project PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto em que você quer criar o cluster.
Crie um cluster que use apenas a aplicação da política:

Antes de usar os dados do comando abaixo, faça estas substituições:
- CLUSTER_NAME: um nome de cluster.
- LOCATION: o local, por exemplo, us-central1 ou asia-south1.
- CLUSTER_PROJECT_ID: o ID do projeto do cluster.
Execute o este comando:
Linux, macOS ou Cloud Shell

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID
```

A criação do cluster pode levar alguns minutos.

Criar um cluster com a autorização binária ativada (auditoria e aplicação)

A autorização binária funciona com clusters do Autopilot ou Standard.

A política de aplicação é definida como a política do projeto que, por padrão, permite todas as imagens. Para alterar a política do projeto, siga estas instruções.

É possível configurar as políticas da plataforma de auditoria. Para auditoria, é necessário especificar pelo menos uma política de plataforma.

Para criar um cluster com a autorização binária ativada com auditoria e aplicação, faça o seguinte:

Console

Nas etapas a seguir, você configura um cluster padrão.

No console do Google Cloud, abra a página GKE.

Acessar o GKE
Clique em Criar cluster. Insira valores para os campos padrão, conforme descrito em Como criar um cluster zonal.
No menu de navegação, clique em Segurança.
Selecione Ativar autorização binária.
Selecione Auditoria e aplicação e configure as políticas de auditoria.
Clique em Criar.

gcloud

Defina seu projeto padrão do Google Cloud:
```
gcloud config set project PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto em que você quer criar o cluster.
Crie um cluster que use a aplicação da política de Singleton do projeto e a auditoria baseada em políticas da plataforma de CV:

Antes de usar os dados do comando abaixo, faça estas substituições:
- CLUSTER_NAME: um nome de cluster.
- LOCATION: o local, por exemplo, us-central1 ou asia-south1.
- POLICY_PROJECT_ID: o ID do projeto em que a política está armazenada.
- POLICY_ID: o ID da política.
- CLUSTER_PROJECT_ID: o ID do projeto do cluster.
Execute o este comando:
Linux, macOS ou Cloud Shell

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

A criação do cluster pode levar alguns minutos.

Criar um cluster de CV que usa várias políticas de plataforma (somente auditoria)

A autorização binária funciona com clusters do Autopilot ou Standard.

É possível criar clusters com várias políticas de plataforma vinculadas a eles. Consulte mais informações na Referência da API GKE.

Console

Nas etapas a seguir, você configura um cluster padrão.

No console do Google Cloud, abra a página GKE.

Acessar o GKE
Clique em Criar cluster. Insira valores para os campos padrão, conforme descrito em Como criar um cluster zonal.
No menu de navegação, clique em Segurança.
Selecione Ativar autorização binária.
Selecione Somente auditoria e configure uma ou mais políticas de plataforma para avaliar seu cluster com a autorização binária.
Clique em Criar.

gcloud

Defina seu projeto padrão do Google Cloud:
```
gcloud config set project PROJECT_ID
```
Crie o cluster.

Antes de usar os dados do comando abaixo, faça estas substituições:
- CLUSTER_NAME: um nome de cluster.
- LOCATION: o local, por exemplo, us-central1 ou asia-south1.
- POLICY_PROJECT_ID_1: o ID do projeto em que a primeira política da plataforma está armazenada.
- POLICY_ID_1: o ID da primeira política da plataforma.
- POLICY_PROJECT_ID_2: o ID do projeto em que a segunda política da plataforma está armazenada. Várias políticas podem ser armazenadas no mesmo projeto ou em projetos diferentes.
- POLICY_ID_2: o ID da segunda política da plataforma.
- CLUSTER_PROJECT_ID: o ID do projeto do cluster.
Execute o este comando:
Linux, macOS ou Cloud Shell

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

A criação do cluster pode levar alguns minutos.

Criar um cluster de CV que usa várias políticas de plataforma (auditoria e aplicação)

A autorização binária funciona com clusters do Autopilot ou Standard.

É possível criar clusters com várias políticas de plataforma vinculadas a eles. Consulte mais informações na Referência da API GKE.

Console

Nas etapas a seguir, você configura um cluster padrão.

No console do Google Cloud, abra a página GKE.

Acessar o GKE
Clique em Criar cluster. Insira valores para os campos padrão, conforme descrito em Como criar um cluster zonal.
No menu de navegação, clique em Segurança.
Selecione Ativar autorização binária.
Selecione Auditoria e aplicação e configure políticas de auditoria.
Clique em Criar.

gcloud

Defina seu projeto padrão do Google Cloud:
```
gcloud config set project PROJECT_ID
```
Crie um cluster que use a aplicação da política de Singleton do projeto e a auditoria baseada em políticas da plataforma de CV:

Antes de usar os dados do comando abaixo, faça estas substituições:
- CLUSTER_NAME: um nome de cluster.
- LOCATION: o local, por exemplo, us-central1 ou asia-south1.
- POLICY_PROJECT_ID_1: o ID do projeto em que a primeira política da plataforma está armazenada.
- POLICY_ID_1: o ID da primeira política da plataforma.
- POLICY_PROJECT_ID_2: o ID do projeto em que a segunda política da plataforma está armazenada. Várias políticas podem ser armazenadas no mesmo projeto ou em projetos diferentes.
- POLICY_ID_2: o ID da segunda política da plataforma.
- CLUSTER_PROJECT_ID: o ID do projeto do cluster.
Execute o este comando:
Linux, macOS ou Cloud Shell

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
Windows (PowerShell)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows (cmd.exe)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

A criação do cluster pode levar alguns minutos.

Verificar se a autorização binária está ativada

Para verificar se a autorização binária está ativada para o cluster:

Console

Abra a página do GKE no Console do Google Cloud.

Acessar o GKE
Em Clusters do Kubernetes, encontre seu cluster.
Em Segurança, verifique se Autorização binária está definida como Ativado.

gcloud

Para listar as vinculações de política do cluster, faça o seguinte:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Pode haver outras informações após a listagem de vinculação da política.

Criar um cluster

Antes de começar

Criar um cluster com a autorização binária ativada (somente auditoria)

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Criar um cluster com a autorização binária ativada (somente aplicação)

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Criar um cluster com a autorização binária ativada (auditoria e aplicação)

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Criar um cluster de CV que usa várias políticas de plataforma (somente auditoria)

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Criar um cluster de CV que usa várias políticas de plataforma (auditoria e aplicação)

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Verificar se a autorização binária está ativada

Console

gcloud

A seguir