Abilitazione dell'applicazione su un cluster esistente

Questa guida mostra come attivare l'applicazione dell'autorizzazione binaria su un cluster Google Kubernetes Engine (GKE) esistente.

Prima di iniziare

Prima di utilizzare questa guida, segui questi passaggi:

  1. Crea un cluster GKE standard. Per saperne di più sulla creazione di cluster standard, consulta Creare un cluster zonale o Creare un cluster regionale.
  2. Abilita l'API Binary Authorization.

Attiva l'applicazione

Per attivare l'applicazione, segui questi passaggi:

Console

  1. Nella console Google Cloud , vai alla pagina GKE:

    Vai a GKE.

  2. Nell'elenco Cluster Kubernetes, fai clic sul nome del cluster.

  3. Nella sezione Sicurezza, nella riga Autorizzazione binaria, fai clic sull'icona di modifica ().

  4. Nella finestra di dialogo Modifica autorizzazione binaria, seleziona la casella di controllo Attiva autorizzazione binaria e fai clic su Salva modifiche.

gcloud

Per un cluster zonale, inserisci il seguente comando:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Sostituisci quanto segue:

  • NAME: il nome del cluster GKE su cui vuoi abilitare Autorizzazione binaria.
  • ZONE: la zona in cui risiede il cluster.

I cluster possono avere sia l'applicazione di Autorizzazione binaria sia il monitoraggio delle vulnerabilità comuni ed esposizioni abilitato. Per modificare le impostazioni di monitoraggio e applicazione delle CV, imposta --binauthz-evaluation-mode su uno dei seguenti valori:

  • POLICY_BINDINGS: abilita solo il monitoraggio CV e disabilita un criterio di applicazione esistente, se presente
  • PROJECT_SINGLETON_POLICY_ENFORCE: attiva solo l'applicazione e disattiva il monitoraggio CV se era stato attivato in precedenza
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: abilita sia l'applicazione che il monitoraggio della CV

Per ulteriori informazioni sui criteri CV e sulla gestione dei cluster, vedi Gestire i criteri della piattaforma CV.

In alternativa, per un cluster regionale, inserisci questo comando:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Sostituisci quanto segue:

  • NAME: il nome del cluster GKE su cui vuoi abilitare Autorizzazione binaria.
  • REGION: la regione in cui risiede il cluster.

I cluster possono avere sia l'applicazione di Autorizzazione binaria sia il monitoraggio delle vulnerabilità comuni ed esposizioni abilitato. Per modificare le impostazioni di monitoraggio e applicazione delle CV, imposta --binauthz-evaluation-mode su uno dei seguenti valori:

  • POLICY_BINDINGS: abilita solo il monitoraggio CV e disabilita un criterio di applicazione esistente, se presente
  • PROJECT_SINGLETON_POLICY_ENFORCE: attiva solo l'applicazione e disattiva il monitoraggio CV se era stato attivato in precedenza
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: abilita sia l'applicazione che il monitoraggio della CV

Per ulteriori informazioni sui criteri CV e sulla gestione dei cluster, vedi Gestire i criteri della piattaforma CV.

Passaggi successivi