Abilitazione dell'applicazione su un cluster esistente

Questa guida mostra come abilitare l'applicazione di Autorizzazione binaria su un cluster Google Kubernetes Engine (GKE) esistente.

Prima di iniziare

Prima di utilizzare questa guida, segui questi passaggi:

  1. Crea un cluster GKE standard. Per scoprire di più sulla creazione di cluster standard, consulta Creare un cluster di zona o Creare un cluster a livello di regione.
  2. Abilita l'API Binary Authorization.

Abilita applicazione

Per attivare l'applicazione forzata:

Console

  1. Nella console Google Cloud, vai alla pagina GKE:

    Vai a GKE.

  2. Nell'elenco Cluster Kubernetes, fai clic sul nome del tuo cluster.

  3. In Sicurezza, nella riga Autorizzazione binaria, fai clic sull'icona di modifica ().

  4. Nella finestra di dialogo Modifica Autorizzazione binaria, seleziona la casella di controllo Abilita Autorizzazione binaria e fai clic su Salva modifiche.

gcloud

Per un cluster di zona, inserisci il comando seguente:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Sostituisci quanto segue:

  • NAME: il nome del cluster GKE in cui vuoi abilitare Autorizzazione binaria.
  • ZONE: la zona in cui si trova il cluster.

Nei cluster possono essere abilitati sia l'applicazione di Autorizzazione binaria sia il monitoraggio CV. Per modificare le impostazioni di monitoraggio e applicazione forzata, imposta --binauthz-evaluation-mode su uno dei seguenti valori:

  • POLICY_BINDINGS: attiva solo il monitoraggio della CV e disabilita un criterio di applicazione esistente, se presente
  • PROJECT_SINGLETON_POLICY_ENFORCE: attiva solo l'applicazione forzata e disattiva il monitoraggio CV se era stato precedentemente abilitato
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: consente sia l'applicazione sia il monitoraggio CV

Per maggiori informazioni sui criteri e sulla gestione dei cluster CV, consulta Gestire i criteri della piattaforma CV.

In alternativa, per un cluster a livello di regione, inserisci il comando seguente:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Sostituisci quanto segue:

  • NAME: il nome del cluster GKE in cui vuoi abilitare Autorizzazione binaria.
  • REGION: la regione in cui si trova il cluster.

Nei cluster possono essere abilitati sia l'applicazione di Autorizzazione binaria sia il monitoraggio CV. Per modificare le impostazioni di monitoraggio e applicazione forzata, imposta --binauthz-evaluation-mode su uno dei seguenti valori:

  • POLICY_BINDINGS: attiva solo il monitoraggio della CV e disabilita un criterio di applicazione esistente, se presente
  • PROJECT_SINGLETON_POLICY_ENFORCE: attiva solo l'applicazione forzata e disattiva il monitoraggio CV se era stato precedentemente abilitato
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: consente sia l'applicazione sia il monitoraggio CV

Per maggiori informazioni sui criteri e sulla gestione dei cluster CV, consulta Gestire i criteri della piattaforma CV.

Passaggi successivi