Avant de commencer
Avant d'utiliser ce guide, procédez comme suit :
- Créez un cluster GKE standard. Pour en savoir plus sur la création de clusters standards, consultez les pages Créer un cluster zonal et Créer un cluster régional.
- Activez l'API d'autorisation binaire.
Activer l'application des règles
Pour activer l'application, procédez comme suit :
Console
Dans la console Google Cloud, accédez à la page GKE:
Dans la liste Clusters Kubernetes, cliquez sur le nom de votre cluster.
Sous Sécurité, sur la ligne de l'autorisation binaire, cliquez sur l'icône de modification (edit).
Dans la boîte de dialogue Modifier l'autorisation binaire, cochez la case Activer l'autorisation binaire, puis cliquez sur Enregistrer les modifications.
gcloud
Pour un cluster zonal, saisissez la commande suivante :
gcloud container clusters update NAME \
--zone ZONE \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Remplacez les éléments suivants :
NAME
: nom du cluster GKE dans lequel vous souhaitez activer l'autorisation binaire.ZONE
: zone dans laquelle se trouve le cluster.
L'application forcée de l'autorisation binaire et la surveillance CV peuvent être activées sur les clusters. Pour modifier les paramètres de surveillance et d'application forcée de la CV, définissez --binauthz-evaluation-mode
sur l'une des valeurs suivantes :
POLICY_BINDINGS
: active la surveillance CV et désactive les règles d'application existantes, le cas échéantPROJECT_SINGLETON_POLICY_ENFORCE
: active uniquement l'application forcée et désactive la surveillance CV si elle était précédemment activée.POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE
: active l'application forcée et la surveillance CV.
Pour en savoir plus sur les règles de CV et la gestion des clusters, consultez la page Gérer les règles de plate-forme CV.
Pour un cluster régional, vous pouvez également saisir la commande suivante :
gcloud container clusters update NAME \
--region REGION \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Remplacez les éléments suivants :
NAME
: nom du cluster GKE dans lequel vous souhaitez activer l'autorisation binaire.REGION
: région dans laquelle se trouve le cluster.
L'application forcée de l'autorisation binaire et la surveillance CV peuvent être activées sur les clusters. Pour modifier les paramètres de surveillance et d'application forcée de la CV, définissez --binauthz-evaluation-mode
sur l'une des valeurs suivantes :
POLICY_BINDINGS
: active la surveillance CV et désactive les règles d'application existantes, le cas échéantPROJECT_SINGLETON_POLICY_ENFORCE
: active uniquement l'application forcée et désactive la surveillance CV si elle était précédemment activée.POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE
: active l'application forcée et la surveillance CV.
Pour en savoir plus sur les règles de CV et la gestion des clusters, consultez la page Gérer les règles de plate-forme CV.
Étape suivante
- Exiger des attestations
- Déployer des images de conteneurs
- Afficher des événements dans Cloud Audit Logs