创建集群

本页面介绍如何在启用了 Binary Authorization 的 Google Kubernetes Engine (GKE) 中创建集群。您可以在命令行中使用 gcloud 命令或在 Google Cloud Console 中执行此步骤。这个步骤是设置 Binary Authorization for GKE 的一部分。

准备工作

如果您尚未完成准备工作,请执行以下操作:

创建启用了 Binary Authorization 的集群

如需创建启用了 Binary Authorization 的集群,请执行以下操作:

控制台

  1. 在 Google Cloud 控制台中,转到 GKE 页面。

    转到 GKE

  2. 点击创建集群。按照创建可用区级集群中的说明,为默认字段输入值。

  3. 在左侧导航栏中,点击安全性

  4. 选择启用 Binary Authorization

  5. 点击创建

gcloud

  1. 通过执行以下命令设置默认 Google Cloud 项目:

    gcloud config set project PROJECT_ID
    

    PROJECT_ID 替换为您要在其中创建集群的项目的 ID。

  2. 创建集群。

    输入以下命令:

    gcloud container clusters create \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
        --zone ZONE \
        CLUSTER_NAME
    

    请替换以下内容:

    • ZONE:GKE 可用区,例如 us-central1-a
    • CLUSTER_NAME:您要创建的集群的名称,例如 test-cluster

创建集群可能需要几分钟时间。

在现有集群上启用 Binary Authorization

如需在现有集群上启用 Binary Authorization,请执行以下操作:

控制台

  1. 在 Google Cloud 控制台中,转到 GKE 页面。

    转到 GKE

  2. Kubernetes 集群下,找到您的集群。

  3. 点击集群名称。

  4. 集群中的安全性下,找到 Binary Authorization,然后点击

  5. 选择启用 Binary Authorization

  6. 点击保存更改

gcloud

  1. 通过执行以下命令设置默认 Google Cloud 项目:

    gcloud config set project PROJECT_ID
    

    PROJECT_ID 替换为您要在其中创建集群的项目的 ID。

  2. 创建集群。

    输入以下命令:

    gcloud container clusters update CLUSTER_NAME \
        --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME 替换为要启用 Binary Authorization 的集群的名称。

验证 Binary Authorization 是否已启用

如需验证集群是否已启用 Binary Authorization,请执行以下操作:

控制台

  1. 打开 Google Cloud 控制台中的 GKE 页面。

    转到 GKE

  2. Kubernetes 集群下,找到您的集群。

  3. 安全性下,验证 Binary Authorization 是否已设置为已启用

gcloud

如需列出项目中正在运行的集群,请执行以下命令:

gcloud container clusters list

(可选)您可以通过将 --zone ZONE 添加到命令来将列表范围限制为特定计算可用区。

ZONE 替换为某个可用区,例如 us-central1-a

后续步骤