在 GKE 中配置跨项目访问

本页面介绍了如何为 Binary Authorization 授予与当前项目不同的 Google Cloud 项目中的政策和容器映像的访问权限。例如，如果您在不同项目拥有的 Artifact Registry 或 Container Registry（已弃用）制品库的 Google Kubernetes Engine (GKE) 集群中部署映像，则需要为项目中的 Binary Authorization 服务授予来源制品库中的映像元数据的访问权限。

术语

本文档使用以下术语：

服务代理：Google Cloud 管理的服务账号。Binary Authorization 使用服务代理与 Google Cloud 资源（如 GKE 集群）进行交互。
政策项目：包含 Binary Authorization 政策的 Google Cloud 项目。
集群项目：：包含 GKE 集群的 Google Cloud 项目。
工件项目：包含 Artifact Registry 或 Container Registry（已弃用）制品库的 Google Cloud 项目。

需要跨项目访问的场景

在以下情况下，您必须授予跨项目权限：

政策项目与集群项目不同。
集群项目与工件项目不同。

准备工作

登录您的 Google Cloud 账号。如果您是 Google Cloud 新手，请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金，用于运行、测试和部署工作负载。

安装 Google Cloud CLI。

如需初始化 gcloud CLI，请运行以下命令：

gcloud init

注意：如果您之前安装了 gcloud CLI，请确保通过运行

gcloud components
      update

获得最新版本。

创建或选择 Google Cloud 项目。

创建 Google Cloud 项目：
```
gcloud projects create PROJECT_ID
```
将 PROJECT_ID 替换为您要创建的 Google Cloud 项目的名称。
选择您创建的 Google Cloud 项目：
```
gcloud config set project PROJECT_ID
```
将 PROJECT_ID 替换为您的 Google Cloud 项目名称。

确保您的 Google Cloud 项目已启用结算功能。

Enable the Binary Authorization API:

gcloud services enable binaryauthorization.googleapis.com

安装 Google Cloud CLI。

如需初始化 gcloud CLI，请运行以下命令：

gcloud init

注意：如果您之前安装了 gcloud CLI，请确保通过运行

gcloud components
      update

获得最新版本。

创建或选择 Google Cloud 项目。

创建 Google Cloud 项目：
```
gcloud projects create PROJECT_ID
```
将 PROJECT_ID 替换为您要创建的 Google Cloud 项目的名称。
选择您创建的 Google Cloud 项目：
```
gcloud config set project PROJECT_ID
```
将 PROJECT_ID 替换为您的 Google Cloud 项目名称。

确保您的 Google Cloud 项目已启用结算功能。

Enable the Binary Authorization API:

gcloud services enable binaryauthorization.googleapis.com

与政策项目不同的集群项目

为集群项目中的 Binary Authorization 服务代理授予政策项目的 Binary Authorization Policy Evaluator (roles/binaryauthorization.policyEvaluator) 角色。

gcloud projects add-iam-policy-binding POLICY_PROJECT_ID \
  --member="serviceAccount:service-$(gcloud projects describe CLUSTER_PROJECT_ID --format='value(projectNumber)')@gcp-sa-binaryauthorization.iam.gserviceaccount.com" \
  --role=roles/binaryauthorization.policyEvaluator

请替换以下内容：

POLICY_PROJECT_ID：包含政策的项目的 ID。
CLUSTER_PROJECT_ID：集群的项目 ID。

与工件项目不同的集群项目

为集群项目中的 Binary Authorization 服务代理授予工件项目的 Artifact Registry Reader (roles/artifactregistry.reader) 角色。

gcloud projects add-iam-policy-binding ARTIFACT_PROJECT_ID \
    --member="serviceAccount:service-$(gcloud projects describe CLUSTER_PROJECT_ID --format='value(projectNumber)')@gcp-sa-binaryauthorization.iam.gserviceaccount.com" \
    --role=roles/artifactregistry.reader

请替换以下内容：

ARTIFACT_PROJECT_ID：包含 Artifact Registry 制品库的项目的 ID。
注意：如果您使用 Container Registry，则可以使用 Storage Object Viewer (roles/storage.objectViewer) 角色，但我们建议您迁移到 Artifact Registry。Container Registry 已弃用。如需查看迁移说明，请参阅从 Container Registry 转换。
CLUSTER_PROJECT_ID：运行 GKE 集群的项目的 ID。