始める前に
このガイドを使用する前に、次のことを行ってください。
- Standard GKE クラスタを作成します。Standard クラスタの作成の詳細については、ゾーンクラスタの作成またはリージョン クラスタの作成をご覧ください。
- Binary Authorization API を有効にします。
適用を有効にする
適用を有効にするには、次の手順を行います。
コンソール
Google Cloud コンソールで、GKE のページに移動します。
[Kubernetes クラスタ] リストで、クラスタの名前をクリックします。
[セキュリティ] の [Binary Authorization] の行で、編集アイコン(edit)をクリックします。
[Binary Authorization の編集] ダイアログで、[Binary Authorization の有効化] チェックボックスをオンにして [変更を保存] をクリックします。
gcloud
ゾーンクラスタの場合は、次のコマンドを入力します。
gcloud container clusters update NAME \
--zone ZONE \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
次のように置き換えます。
NAME: Binary Authorization を有効にする GKE クラスタの名前。ZONE: クラスタが存在するゾーン。
クラスタで Binary Authorization の適用と CV モニタリングの両方を有効にできます。CV のモニタリングと適用の設定を変更するには、--binauthz-evaluation-mode を次のいずれかの値に設定します。
POLICY_BINDINGS: CV モニタリングのみを有効にします。適用ポリシーがある場合は、それを無効にします。PROJECT_SINGLETON_POLICY_ENFORCE: 適用のみを有効にします。以前に有効になっていた CV モニタリングを無効にします。POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: 適用と CV モニタリングの両方を有効にします
CV ポリシーとクラスタ管理の詳細については、CV プラットフォーム ポリシーを管理するをご覧ください。
また、リージョン クラスタの場合は、次のコマンドを入力します。
gcloud container clusters update NAME \
--region REGION \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
次のように置き換えます。
NAME: Binary Authorization を有効にする GKE クラスタの名前。REGION: クラスタが存在するリージョン。
クラスタで Binary Authorization の適用と CV モニタリングの両方を有効にできます。CV のモニタリングと適用の設定を変更するには、--binauthz-evaluation-mode を次のいずれかの値に設定します。
POLICY_BINDINGS: CV モニタリングのみを有効にします。適用ポリシーがある場合は、それを無効にします。PROJECT_SINGLETON_POLICY_ENFORCE: 適用のみを有効にします。以前に有効になっていた CV モニタリングを無効にします。POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: 適用と CV モニタリングの両方を有効にします
CV ポリシーとクラスタ管理の詳細については、CV プラットフォーム ポリシーを管理するをご覧ください。