Configurar o acesso entre projetos no GKE

Nesta página, mostramos como conceder o acesso de autorização binária a políticas e imagens de contêiner que existem em projetos do Google Cloud diferentes do projeto atual. Por exemplo, se você implantar imagens no cluster do Google Kubernetes Engine (GKE) de um repositório do Artifact Registry ou do Container Registry (descontinuado) de outro projeto, será necessário conceder ao serviço de autorização binária no projeto acesso aos metadados de imagem no repositório de origem.

Terminologia

Neste documento, usamos os seguintes termos:

Agente de serviço: uma conta de serviço gerenciada pelo Google Cloud. A autorização binária usa um agente de serviço para interagir com os recursos do Google Cloud, como os clusters do GKE.
Projeto de política: o projeto do Google Cloud que contém sua política de autorização binária.
Projeto de cluster: o projeto do Google Cloud que contém seu cluster do GKE.
Projeto artefato: o projeto do Google Cloud que contém seu repositório do Artifact Registry ou do Container Registry (descontinuado).

Situações que exigem acesso entre projetos

É necessário conceder permissões entre projetos em situações como as exibidas a seguir:

O projeto de política é diferente do projeto do cluster.
O projeto do cluster é diferente do projeto de artefato.

Antes de começar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Make sure that billing is enabled for your Google Cloud project.

Enable the Binary Authorization API:

gcloud services enable binaryauthorization.googleapis.com

Install the Google Cloud CLI.

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Make sure that billing is enabled for your Google Cloud project.

Enable the Binary Authorization API:

gcloud services enable binaryauthorization.googleapis.com

Projeto de cluster diferente do projeto de política

Conceda ao agente de serviço de autorização binária no projeto de cluster o papel Avaliador de políticas de autorização binária (roles/binaryauthorization.policyEvaluator) no projeto de política.

gcloud projects add-iam-policy-binding POLICY_PROJECT_ID \
  --member="serviceAccount:service-$(gcloud projects describe CLUSTER_PROJECT_ID --format='value(projectNumber)')@gcp-sa-binaryauthorization.iam.gserviceaccount.com" \
  --role=roles/binaryauthorization.policyEvaluator

Substitua:

POLICY_PROJECT_ID: o ID do projeto que contém seus artefatos.
CLUSTER_PROJECT_ID: o ID do projeto do cluster.

Projeto do cluster diferente do projeto de artefato

Conceda ao agente de serviço de autorização binária no projeto de cluster o papel Leitor do Artifact Registry (roles/artifactregistry.reader) no projeto de artefato.

gcloud projects add-iam-policy-binding ARTIFACT_PROJECT_ID \
    --member="serviceAccount:service-$(gcloud projects describe CLUSTER_PROJECT_ID --format='value(projectNumber)')@gcp-sa-binaryauthorization.iam.gserviceaccount.com" \
    --role=roles/artifactregistry.reader

Substitua:

ARTIFACT_PROJECT_ID: o ID do projeto que contém o repositório do Artifact Registry.
Observação: se você usar o Container Registry, poderá usar o papel Leitor de objetos do Storage (roles/storage.objectViewer), mas recomendamos você migra para o Artifact Registry. O Container Registry será descontinuado. Para instruções sobre migração, consulte Transição do Container Registry.
CLUSTER_PROJECT_ID: o ID do projeto que executa os clusters do GKE.

Configurar o acesso entre projetos no GKE Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Terminologia

Situações que exigem acesso entre projetos

Antes de começar

Projeto de cluster diferente do projeto de política

Projeto do cluster diferente do projeto de artefato

Configurar o acesso entre projetos no GKE