Antes de comenzar
Antes de usar esta guía, haz lo siguiente:
- Crea un clúster de GKE estándar Para obtener más información sobre la creación de clústeres estándar, consulta Crea un clúster zonal o Crea un clúster regional.
- Habilita la API de autorización binaria.
Habilita la aplicación forzosa
Para habilitar la aplicación forzosa, sigue estos pasos:
Console
En la consola de Google Cloud, ve a la página GKE.
En la lista de clústeres de Kubernetes, haz clic en el nombre de tu clúster.
En Seguridad, en la fila Autorización binaria, haz clic en el ícono de edición (edit).
En el cuadro de diálogo Editar autorización binaria, selecciona la casilla de verificación Habilitar autorización binaria y haz clic en Guardar cambios.
gcloud
Para un clúster zonal, ingresa el siguiente comando:
gcloud container clusters update NAME \
--zone ZONE \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Reemplaza lo siguiente:
NAME
: Es el nombre del clúster de GKE en el que deseas habilitar la autorización binaria.ZONE
: la zona en la que reside el clúster
Los clústeres pueden tener habilitada la aplicación de Autorización Binaria y la supervisión de CV. Para cambiar la configuración de aplicación y supervisión de la CV, establece --binauthz-evaluation-mode
en uno de los siguientes valores:
POLICY_BINDINGS
: habilita solo la supervisión de la CV e inhabilita una política de aplicación existente si la hayPROJECT_SINGLETON_POLICY_ENFORCE
: habilita solo la aplicación y, luego, inhabilita la supervisión de la CV si se habilitó antesPOLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE
: habilita la aplicación y la supervisión de la CV
Para obtener más información sobre la política de la CV y la administración de clústeres, consulta Administra las políticas de la plataforma de CV.
Como alternativa, para un clúster regional, ingresa el siguiente comando:
gcloud container clusters update NAME \
--region REGION \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Reemplaza lo siguiente:
NAME
: Es el nombre del clúster de GKE en el que deseas habilitar la autorización binaria.REGION
: La región en la que reside el clúster
Los clústeres pueden tener habilitada la aplicación de Autorización Binaria y la supervisión de CV. Para cambiar la configuración de aplicación y supervisión de la CV, establece --binauthz-evaluation-mode
en uno de los siguientes valores:
POLICY_BINDINGS
: habilita solo la supervisión de la CV e inhabilita una política de aplicación existente si la hayPROJECT_SINGLETON_POLICY_ENFORCE
: habilita solo la aplicación y, luego, inhabilita la supervisión de la CV si se habilitó antesPOLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE
: habilita la aplicación y la supervisión de la CV
Para obtener más información sobre la política de la CV y la administración de clústeres, consulta Administra las políticas de la plataforma de CV.
¿Qué sigue?
- Solicitar certificaciones
- Implementar imágenes de contenedor
- Visualiza eventos en los registros de auditoría de Cloud