Prima di iniziare
Prima di utilizzare questa guida:
- Crea un cluster GKE standard. Per saperne di più sulla creazione di cluster standard, consulta Creazione di un cluster di zona o Creare un cluster a livello di regione.
- Abilita l'API Binary Authorization.
Abilita l'applicazione
Per abilitare l'applicazione forzata:
Console
Nella console Google Cloud, vai alla pagina GKE:
Nell'elenco Cluster Kubernetes, fai clic sul nome del cluster.
In Sicurezza, nella riga Autorizzazione binaria, fai clic sull'icona di modifica (edit).
Nella finestra di dialogo Modifica Autorizzazione binaria, seleziona la casella di controllo Abilita Autorizzazione binaria e fai clic su Salva modifiche.
gcloud
Per un cluster a livello di zona, inserisci il seguente comando:
gcloud container clusters update NAME \
--zone ZONE \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Sostituisci quanto segue:
NAME
: il nome del cluster GKE per cui vuoi abilitare Autorizzazione binaria.ZONE
: la zona in cui si trova il cluster.
Nei cluster possono essere abilitate sia l'applicazione forzata di Autorizzazione binaria sia il monitoraggio dei CV. Per modificare le impostazioni di monitoraggio e applicazione delle norme, imposta --binauthz-evaluation-mode
su uno dei seguenti valori:
POLICY_BINDINGS
: abilita solo il monitoraggio dei CV e disabilita un criterio di applicazione esistente se ne esiste unoPROJECT_SINGLETON_POLICY_ENFORCE
: consente l'applicazione forzata e disabilita il monitoraggio del CV se era stato abilitato in precedenzaPOLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE
: abilita sia l'applicazione delle norme che il monitoraggio dei CV
Per scoprire di più sui criteri dei CV e sulla gestione dei cluster, consulta Gestire i criteri della piattaforma CV.
In alternativa, per un cluster a livello di regione, inserisci il seguente comando:
gcloud container clusters update NAME \
--region REGION \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Sostituisci quanto segue:
NAME
: il nome del cluster GKE per cui vuoi abilitare Autorizzazione binaria.REGION
: la regione in cui risiede il cluster.
Nei cluster possono essere abilitate sia l'applicazione forzata di Autorizzazione binaria sia il monitoraggio dei CV. Per modificare le impostazioni di monitoraggio e applicazione delle norme, imposta --binauthz-evaluation-mode
su uno dei seguenti valori:
POLICY_BINDINGS
: abilita solo il monitoraggio dei CV e disabilita un criterio di applicazione esistente se ne esiste unoPROJECT_SINGLETON_POLICY_ENFORCE
: consente l'applicazione forzata e disabilita il monitoraggio del CV se era stato abilitato in precedenzaPOLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE
: abilita sia l'applicazione delle norme che il monitoraggio dei CV
Per scoprire di più sui criteri dei CV e sulla gestione dei cluster, consulta Gestire i criteri della piattaforma CV.
Passaggi successivi
- Richiedere attestazioni
- Eseguire il deployment delle immagini container
- Visualizza eventi in Cloud Audit Logs