Ative a aplicação num cluster existente

Este guia mostra como ativar a aplicação da Autorização binária num cluster do Google Kubernetes Engine (GKE) existente.

Antes de começar

Antes de usar este guia, faça o seguinte:

  1. Crie um cluster do GKE padrão. Para saber como criar clusters padrão, consulte os artigos Crie um cluster zonal ou Crie um cluster regional.
  2. Ative a API Binary Authorization.

Ative a aplicação

Para ativar a aplicação, siga estes passos:

Consola

  1. Na Google Cloud consola, aceda à página do GKE:

    Aceda ao GKE.

  2. Na lista Clusters do Kubernetes, clique no nome do cluster.

  3. Em Segurança, na linha de Autorização binária, clique no ícone de edição ().

  4. Na caixa de diálogo Editar autorização binária, selecione a caixa de verificação Ativar autorização binária e clique em Guardar alterações.

gcloud

Para um cluster zonal, introduza o seguinte comando:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Substitua o seguinte:

  • NAME: o nome do cluster do GKE no qual quer ativar a autorização binária.
  • ZONE: a zona onde o cluster reside.

Os clusters podem ter a aplicação da autorização binária e a monitorização de CV ativadas. Para alterar as definições de monitorização e aplicação de CV, defina --binauthz-evaluation-mode para um dos seguintes valores:

  • POLICY_BINDINGS: ativa apenas a monitorização de CV e desativa uma política de aplicação existente, se houver
  • PROJECT_SINGLETON_POLICY_ENFORCE: ativa apenas a aplicação e desativa a monitorização de CV se tiver sido ativada anteriormente
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: ativa a aplicação e a monitorização de CV

Para mais informações sobre a política de CV e a gestão de clusters, consulte o artigo Faça a gestão das políticas da plataforma de CV.

Em alternativa, para um cluster regional, introduza o seguinte comando:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Substitua o seguinte:

  • NAME: o nome do cluster do GKE no qual quer ativar a autorização binária.
  • REGION: a região onde o cluster reside.

Os clusters podem ter a aplicação da autorização binária e a monitorização de CV ativadas. Para alterar as definições de monitorização e aplicação de CV, defina --binauthz-evaluation-mode para um dos seguintes valores:

  • POLICY_BINDINGS: ativa apenas a monitorização de CV e desativa uma política de aplicação existente, se houver
  • PROJECT_SINGLETON_POLICY_ENFORCE: ativa apenas a aplicação e desativa a monitorização de CV se tiver sido ativada anteriormente
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: ativa a aplicação e a monitorização de CV

Para mais informações sobre a política de CV e a gestão de clusters, consulte o artigo Faça a gestão das políticas da plataforma de CV.

O que se segue?