Erzwingung für einen vorhandenen Cluster aktivieren

In dieser Anleitung erfahren Sie, wie Sie das Erzwingen der Binärautorisierung für einen vorhandenen GKE-Cluster (Google Kubernetes Engine) aktivieren.

Vorbereitung

Führen Sie folgende Schritte aus, bevor Sie diese Anleitung verwenden:

  1. GKE-Standardcluster erstellen Weitere Informationen zum Erstellen von Standardclustern finden Sie unter Zonalen Cluster erstellen oder Regionalen Cluster erstellen.
  2. Aktivieren Sie die Binary Authorization API.

Erzwingung aktivieren

So aktivieren Sie die Erzwingung:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite GKE.

    Zu GKE.

  2. Klicken Sie in der Liste Kubernetes-Cluster auf den Namen Ihres Clusters.

  3. Klicken Sie unter Sicherheit in der Zeile für die Binärautorisierung auf das Bearbeitungssymbol ().

  4. Klicken Sie im Dialogfeld Binärautorisierung bearbeiten auf das Kästchen Binärautorisierung aktivieren und dann auf Änderungen speichern.

gcloud

Geben Sie bei einem zonalen Cluster folgenden Befehl ein:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Ersetzen Sie Folgendes:

  • NAME: Der Name des GKE-Clusters, für den Sie die Binärautorisierung aktivieren möchten.
  • ZONE: Die Zone, in der sich der Cluster befindet.

Für Cluster können sowohl die Erzwingung der Binärautorisierung als auch das CV-Monitoring aktiviert sein. Wenn Sie die Einstellungen für das CV-Monitoring und die Erzwingung ändern möchten, legen Sie für --binauthz-evaluation-mode einen der folgenden Werte fest:

  • POLICY_BINDINGS: aktiviert nur das CV-Monitoring und deaktiviert eine vorhandene Erzwingungsrichtlinie, wenn es eine gibt
  • PROJECT_SINGLETON_POLICY_ENFORCE: aktiviert nur die Erzwingung und deaktiviert das CV-Monitoring, wenn es zuvor aktiviert war
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: aktiviert sowohl die Erzwingung als auch das CV-Monitoring

Weitere Informationen zur CV-Richtlinie und Clusterverwaltung finden Sie unter CV-Plattformrichtlinien verwalten.

Alternativ können Sie bei einem regionalen Cluster folgenden Befehl eingeben:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Ersetzen Sie Folgendes:

  • NAME: Der Name des GKE-Clusters, für den Sie die Binärautorisierung aktivieren möchten.
  • REGION: Die Region, in der sich der Cluster befindet.

Für Cluster können sowohl die Erzwingung der Binärautorisierung als auch das CV-Monitoring aktiviert sein. Wenn Sie die Einstellungen für das CV-Monitoring und die Erzwingung ändern möchten, legen Sie für --binauthz-evaluation-mode einen der folgenden Werte fest:

  • POLICY_BINDINGS: aktiviert nur das CV-Monitoring und deaktiviert eine vorhandene Erzwingungsrichtlinie, wenn es eine gibt
  • PROJECT_SINGLETON_POLICY_ENFORCE: aktiviert nur die Erzwingung und deaktiviert das CV-Monitoring, wenn es zuvor aktiviert war
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: aktiviert sowohl die Erzwingung als auch das CV-Monitoring

Weitere Informationen zur CV-Richtlinie und Clusterverwaltung finden Sie unter CV-Plattformrichtlinien verwalten.

Nächste Schritte