本页面介绍如何在启用了 Binary Authorization 的 Google Kubernetes Engine (GKE) 中创建集群。您可以在命令行中使用 gcloud 命令或在 Google Cloud Console 中执行此步骤。这个步骤是设置 Binary Authorization for GKE 的一部分。
准备工作
如果您尚未完成准备工作,请执行以下操作:
-
-
启用 GKE API。
创建启用了 Binary Authorization 的集群
如需创建启用了 Binary Authorization 的集群,请执行以下操作:
控制台
gcloud
通过执行以下命令设置默认 Google Cloud 项目:
gcloud config set project PROJECT_ID
将 PROJECT_ID 替换为您要在其中创建集群的项目的 ID。
创建集群。
输入以下命令:
gcloud container clusters create \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --zone ZONE \ CLUSTER_NAME请替换以下内容:
- ZONE:GKE 可用区,例如
us-central1-a。 - CLUSTER_NAME:您要创建的集群的名称,例如
test-cluster。
- ZONE:GKE 可用区,例如
创建集群可能需要几分钟时间。
在现有集群上启用 Binary Authorization
如需在现有集群上启用 Binary Authorization,请执行以下操作:
控制台
在 Google Cloud 控制台中,转到 GKE 页面。
在 Kubernetes 集群下,找到您的集群。
点击集群名称。
在集群中的安全性下,找到 Binary Authorization,然后点击 。
选择启用 Binary Authorization。
点击保存更改。
gcloud
通过执行以下命令设置默认 Google Cloud 项目:
gcloud config set project PROJECT_ID
将 PROJECT_ID 替换为您要在其中创建集群的项目的 ID。
创建集群。
输入以下命令:
gcloud container clusters update CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE将 CLUSTER_NAME 替换为要启用 Binary Authorization 的集群的名称。
验证 Binary Authorization 是否已启用
如需验证集群是否已启用 Binary Authorization,请执行以下操作:
控制台
打开 Google Cloud 控制台中的 GKE 页面。
在 Kubernetes 集群下,找到您的集群。
在安全性下,验证 Binary Authorization 是否已设置为已启用。
gcloud
如需列出项目中正在运行的集群,请执行以下命令:
gcloud container clusters list
(可选)您可以通过将 --zone ZONE 添加到命令来将列表范围限制为特定计算可用区。
将 ZONE 替换为某个可用区,例如 us-central1-a。
后续步骤
- 使用 Google Cloud 控制台、命令行工具或 REST API 配置政策。