Habilita la aplicación forzosa en un clúster existente

En esta guía, se muestra cómo habilitar la aplicación de la autorización binaria en un clúster existente de Google Kubernetes Engine (GKE).

Antes de comenzar

Antes de usar esta guía, haz lo siguiente:

  1. Crear un clúster de GKE estándar Para obtener más información sobre la creación de clústeres estándar, consulta Crea un clúster zonal o Crea un clúster regional.
  2. Habilita la API de autorización binaria.

Habilita la aplicación forzosa

Para habilitar la aplicación forzosa, sigue estos pasos:

Console

  1. En la consola de Google Cloud, ve a la página GKE.

    Ir a GKE.

  2. En la lista de clústeres de Kubernetes, haz clic en el nombre de tu clúster.

  3. En Seguridad, en la fila Autorización binaria, haz clic en el ícono de edición ().

  4. En el cuadro de diálogo Editar autorización binaria, selecciona la casilla de verificación Habilitar autorización binaria y haz clic en Guardar cambios.

gcloud

Para un clúster zonal, ingresa el siguiente comando:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Reemplaza lo siguiente:

  • NAME: Es el nombre del clúster de GKE en el que deseas habilitar la autorización binaria.
  • ZONE: la zona en la que reside el clúster

Los clústeres pueden tener habilitada la aplicación de Autorización Binaria y la supervisión de CV. Para cambiar la configuración de aplicación y supervisión de la CV, establece --binauthz-evaluation-mode en uno de los siguientes valores:

  • POLICY_BINDINGS: habilita solo la supervisión de la CV e inhabilita una política de aplicación existente si la hay
  • PROJECT_SINGLETON_POLICY_ENFORCE: habilita solo la aplicación y, luego, inhabilita la supervisión de la CV si se habilitó antes
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: habilita la aplicación y la supervisión de la CV

Para obtener más información sobre la política de CV y la administración de clústeres, consulta Administra las políticas de la plataforma de CV.

Como alternativa, para un clúster regional, ingresa el siguiente comando:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Reemplaza lo siguiente:

  • NAME: Es el nombre del clúster de GKE en el que deseas habilitar la autorización binaria.
  • REGION: La región en la que reside el clúster

Los clústeres pueden tener habilitada la aplicación de Autorización Binaria y la supervisión de CV. Para cambiar la configuración de aplicación y supervisión de la CV, establece --binauthz-evaluation-mode en uno de los siguientes valores:

  • POLICY_BINDINGS: habilita solo la supervisión de la CV e inhabilita una política de aplicación existente si la hay
  • PROJECT_SINGLETON_POLICY_ENFORCE: habilita solo la aplicación y, luego, inhabilita la supervisión de la CV si se habilitó antes
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: habilita la aplicación y la supervisión de la CV

Para obtener más información sobre la política de CV y la administración de clústeres, consulta Administra las políticas de la plataforma de CV.

¿Qué sigue?