Habilita la aplicación forzosa en un clúster existente

En esta guía, se muestra cómo habilitar la aplicación de la autorización binaria en un clúster existente de Google Kubernetes Engine (GKE).

Antes de comenzar

Antes de usar esta guía, haz lo siguiente:

  1. Crear un clúster de GKE estándar Para obtener más información sobre cómo crear clústeres estándar, consulta Crea un clúster zonal o Crea un clúster regional.
  2. Habilita la API de autorización binaria.

Habilita la aplicación forzosa

Para habilitar la aplicación forzosa, sigue estos pasos:

Consola

  1. En la consola de Google Cloud, ve a la página GKE.

    Ir a GKE.

  2. En la lista de clústeres de Kubernetes, haz clic en el nombre de tu clúster.

  3. En Seguridad, en la fila Autorización binaria, haz clic en el ícono de edición ().

  4. En el cuadro de diálogo Editar autorización binaria, selecciona la casilla de verificación Habilitar autorización binaria y haz clic en Guardar cambios.

gcloud

Para un clúster zonal, ingresa el siguiente comando:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Reemplaza lo siguiente:

  • NAME: Es el nombre del clúster de GKE en el que deseas habilitar la autorización binaria.
  • ZONE: la zona en la que reside el clúster

Los clústeres pueden tener habilitadas la aplicación de autorización binaria y la supervisión de CV. Para cambiar la configuración de la supervisión y aplicación forzosa de los CV, establece --binauthz-evaluation-mode en uno de los siguientes valores:

  • POLICY_BINDINGS: Permite solo la supervisión de CV y, luego, inhabilita una política de aplicación existente si existe una.
  • PROJECT_SINGLETON_POLICY_ENFORCE: Permite solo la aplicación y también inhabilita la supervisión de CV si estaba habilitada.
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: Habilita la aplicación y la supervisión de CV.

Para obtener más información sobre la política de CV y la administración de clústeres, consulta Administra las políticas de la plataforma de CV.

Como alternativa, para un clúster regional, ingresa el siguiente comando:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Reemplaza lo siguiente:

  • NAME: Es el nombre del clúster de GKE en el que deseas habilitar la autorización binaria.
  • REGION: Es la región en la que reside el clúster.

Los clústeres pueden tener habilitadas la aplicación de autorización binaria y la supervisión de CV. Para cambiar la configuración de la supervisión y aplicación forzosa de los CV, establece --binauthz-evaluation-mode en uno de los siguientes valores:

  • POLICY_BINDINGS: Permite solo la supervisión de CV y, luego, inhabilita una política de aplicación existente si existe una.
  • PROJECT_SINGLETON_POLICY_ENFORCE: Permite solo la aplicación y también inhabilita la supervisión de CV si estaba habilitada.
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: Habilita la aplicación y la supervisión de CV.

Para obtener más información sobre la política de CV y la administración de clústeres, consulta Administra las políticas de la plataforma de CV.

¿Qué sigue?