既存のクラスタに対する適用を有効にする

このガイドでは、既存の Google Kubernetes Engine(GKE)クラスタで Binary Authorization の適用を有効にする方法について説明します。

始める前に

このガイドを使用する前に、次のことを行ってください。

  1. Standard GKE クラスタを作成します。Standard クラスタの作成の詳細については、ゾーンクラスタの作成またはリージョン クラスタの作成をご覧ください。
  2. Binary Authorization API を有効にします

適用を有効にする

適用を有効にするには、次の手順を行います。

コンソール

  1. Google Cloud コンソールで、GKE ページに移動します。

    GKE に移動

  2. [Kubernetes クラスタ] リストで、クラスタの名前をクリックします。

  3. [セキュリティ] の [Binary Authorization] の行で、編集アイコン()をクリックします。

  4. [Binary Authorization の編集] ダイアログで、[Binary Authorization の有効化] チェックボックスをオンにして [変更を保存] をクリックします。

gcloud

ゾーンクラスタの場合は、次のコマンドを入力します。

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

次のように置き換えます。

  • NAME: Binary Authorization を有効にする GKE クラスタの名前。
  • ZONE: クラスタが存在するゾーン。

クラスタで Binary Authorization の適用と CV モニタリングの両方を有効にできます。CV のモニタリングと適用の設定を変更するには、--binauthz-evaluation-mode を次のいずれかの値に設定します。

  • POLICY_BINDINGS: CV モニタリングのみを有効にします。適用ポリシーがある場合は、それを無効にします。
  • PROJECT_SINGLETON_POLICY_ENFORCE: 適用のみを有効にします。以前に有効になっていた CV モニタリングを無効にします。
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: 適用と CV モニタリングの両方を有効にします

CV ポリシーとクラスタ管理の詳細については、CV プラットフォーム ポリシーを管理するをご覧ください。

また、リージョン クラスタの場合は、次のコマンドを入力します。

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

次のように置き換えます。

  • NAME: Binary Authorization を有効にする GKE クラスタの名前。
  • REGION: クラスタが存在するリージョン。

クラスタで Binary Authorization の適用と CV モニタリングの両方を有効にできます。CV のモニタリングと適用の設定を変更するには、--binauthz-evaluation-mode を次のいずれかの値に設定します。

  • POLICY_BINDINGS: CV モニタリングのみを有効にします。適用ポリシーがある場合は、それを無効にします。
  • PROJECT_SINGLETON_POLICY_ENFORCE: 適用のみを有効にします。以前に有効になっていた CV モニタリングを無効にします。
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: 適用と CV モニタリングの両方を有効にします

CV ポリシーとクラスタ管理の詳細については、CV プラットフォーム ポリシーを管理するをご覧ください。

次のステップ