准备工作
在使用本指南之前,请执行以下操作:
- 创建标准 GKE 集群。如需详细了解如何创建标准集群,请参阅创建可用区级集群或创建区域级集群。
- 启用 Binary Authorization API
启用实施
如需启用实施,请执行以下步骤:
控制台
在 Google Cloud 控制台中,转到 GKE 页面:
在 Kubernetes 集群列表中,点击您的集群的名称。
在安全性下的 Binary Authorization 行中,点击修改图标 (edit)。
在修改 Binary Authorization 对话框中,选中启用 Binary Authorization 复选框,然后点击保存更改。
gcloud
对于可用区级集群,请输入以下命令:
gcloud container clusters update NAME \
--zone ZONE \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
请替换以下内容:
NAME:要启用 Binary Authorization 的 GKE 集群的名称。ZONE:集群所在的可用区。
集群可以启用 Binary Authorization 强制执行和 CV 监控。要更改 CV 监控和强制执行设置,请将 --binauthz-evaluation-mode 设置为以下值之一:
POLICY_BINDINGS:仅启用 CV 监控,并停用现有强制执行政策(如果有)PROJECT_SINGLETON_POLICY_ENFORCE:仅启用强制执行并停用 CV 监控(如果之前已启用)POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE:同时启用强制执行和 CV 监控
如需详细了解 CV 政策和集群管理,请参阅管理 CV 平台政策。
或者,对于区域级集群,请输入以下命令:
gcloud container clusters update NAME \
--region REGION \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
请替换以下内容:
NAME:要启用 Binary Authorization 的 GKE 集群的名称。REGION:集群所在的区域。
集群可以启用 Binary Authorization 强制执行和 CV 监控。要更改 CV 监控和强制执行设置,请将 --binauthz-evaluation-mode 设置为以下值之一:
POLICY_BINDINGS:仅启用 CV 监控,并停用现有强制执行政策(如果有)PROJECT_SINGLETON_POLICY_ENFORCE:仅启用强制执行并停用 CV 监控(如果之前已启用)POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE:同时启用强制执行和 CV 监控
如需详细了解 CV 政策和集群管理,请参阅管理 CV 平台政策。