Activer l'application sur un cluster existant

Ce guide décrit comment activer l'application de l'autorisation binaire sur un cluster Google Kubernetes Engine (GKE) existant.

Avant de commencer

Avant d'utiliser ce guide, procédez comme suit :

  1. Créez un cluster GKE standard. Pour en savoir plus sur la création de clusters standards, consultez les pages Créer un cluster zonal et Créer un cluster régional.
  2. Activez l'API Binary Authorization.

Activer l'application des règles

Pour activer l'application, procédez comme suit :

Console

  1. Dans la console Google Cloud, accédez à la page GKE:

    Accéder à GKE

  2. Dans la liste Clusters Kubernetes, cliquez sur le nom de votre cluster.

  3. Sous Sécurité, sur la ligne de l'autorisation binaire, cliquez sur l'icône de modification ().

  4. Dans la boîte de dialogue Modifier l'autorisation binaire, cochez la case Activer l'autorisation binaire, puis cliquez sur Enregistrer les modifications.

gcloud

Pour un cluster zonal, saisissez la commande suivante :

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Remplacez les éléments suivants :

  • NAME : nom du cluster GKE dans lequel vous souhaitez activer l'autorisation binaire.
  • ZONE : zone dans laquelle se trouve le cluster.

L'application forcée de l'autorisation binaire et la surveillance CV peuvent être activées sur les clusters. Pour modifier les paramètres de surveillance et d'application forcée de la CV, définissez --binauthz-evaluation-mode sur l'une des valeurs suivantes :

  • POLICY_BINDINGS : active la surveillance CV et désactive les règles d'application existantes, le cas échéant
  • PROJECT_SINGLETON_POLICY_ENFORCE : active uniquement l'application forcée et désactive la surveillance CV si elle était précédemment activée.
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE : active l'application forcée et la surveillance CV.

Pour en savoir plus sur les règles de CV et la gestion des clusters, consultez la page Gérer les règles de plate-forme CV.

Pour un cluster régional, vous pouvez également saisir la commande suivante :

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Remplacez les éléments suivants :

  • NAME : nom du cluster GKE dans lequel vous souhaitez activer l'autorisation binaire.
  • REGION : région dans laquelle se trouve le cluster.

L'application forcée de l'autorisation binaire et la surveillance CV peuvent être activées sur les clusters. Pour modifier les paramètres de surveillance et d'application forcée de la CV, définissez --binauthz-evaluation-mode sur l'une des valeurs suivantes :

  • POLICY_BINDINGS : active la surveillance CV et désactive les règles d'application existantes, le cas échéant
  • PROJECT_SINGLETON_POLICY_ENFORCE : active uniquement l'application forcée et désactive la surveillance CV si elle était précédemment activée.
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE : active l'application forcée et la surveillance CV.

Pour en savoir plus sur les règles de CV et la gestion des clusters, consultez la page Gérer les règles de plate-forme CV.

Étape suivante