Abilitazione dell'applicazione su un cluster esistente

Questa guida illustra come attivare l'applicazione di Autorizzazione binaria su un modello nel cluster Google Kubernetes Engine (GKE).

Prima di iniziare

Prima di utilizzare questa guida, svolgi i seguenti passaggi:

  1. Crea un cluster GKE standard. Per scoprire di più sulla creazione di cluster standard, consulta Creare un cluster di zona o Creare un cluster regionale.
  2. Abilita l'API Binary Authorization.

Attivare l'applicazione

Per attivare l'applicazione, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina GKE:

    Vai a GKE.

  2. Nell'elenco Cluster Kubernetes, fai clic sul nome del cluster.

  3. In Sicurezza, nella riga Autorizzazione binaria, fai clic sull'icona della sull'icona di modifica ().

  4. Nella finestra di dialogo Modifica Autorizzazione binaria, seleziona il valore Attiva Autorizzazione binaria e fai clic su Salva modifiche.

gcloud

Per un cluster zonale, inserisci il seguente comando:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Sostituisci quanto segue:

  • NAME: il nome del cluster GKE su cui vuoi abilitare Autorizzazione binaria.
  • ZONE: la zona in cui si trova il cluster.

I cluster possono avere l'applicazione forzata di Autorizzazione binaria Monitoraggio CV abilitato. Per modificare il monitoraggio CV e le impostazioni di applicazione, imposta --binauthz-evaluation-mode su uno dei seguenti valori:

  • POLICY_BINDINGS: attiva solo il monitoraggio degli errori di conversione e disattiva un criterio di applicazione esistente, se presente
  • PROJECT_SINGLETON_POLICY_ENFORCE: attiva solo l'applicazione e disattiva il monitoraggio dei CV se era stato attivato in precedenza
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: abilita sia l'applicazione delle norme sia il monitoraggio dei CV

Per ulteriori informazioni sui criteri e sulla gestione dei cluster di CV, consulta Gestire i criteri della piattaforma CV.

In alternativa, per un cluster regionale, inserisci il seguente comando:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Sostituisci quanto segue:

  • NAME: il nome del cluster GKE su cui vuoi attivare l'autorizzazione binaria.
  • REGION: la regione in cui si trova il cluster.

I cluster possono avere l'applicazione forzata di Autorizzazione binaria Monitoraggio CV abilitato. Per modificare le impostazioni di monitoraggio e applicazione del CV, imposta --binauthz-evaluation-mode su uno dei seguenti valori:

  • POLICY_BINDINGS: attiva solo il monitoraggio degli errori di conversione e disattiva un criterio di applicazione esistente, se presente
  • PROJECT_SINGLETON_POLICY_ENFORCE: attiva solo l'applicazione e disattiva il monitoraggio dei CV se era stato attivato in precedenza
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: consente sia l'applicazione forzata sia il monitoraggio delle conversioni

Per ulteriori informazioni sui criteri CV e sulla gestione dei cluster, vedi Gestisci i criteri della piattaforma CV.

Passaggi successivi