在現有叢集上啟用強制執行功能

本指南說明如何在現有的 Google Kubernetes Engine (GKE) 叢集上啟用二進位授權強制執行功能。

事前準備

使用本指南前,請先完成下列操作:

  1. 建立 標準 GKE 叢集。如要進一步瞭解如何建立標準叢集,請參閱「建立區域叢集」或「建立地區叢集」。
  2. 啟用 Binary Authorization API

啟用強制執行功能

如要啟用強制執行功能,請按照下列步驟操作:

控制台

  1. 前往 Google Cloud 控制台的 GKE 頁面:

    前往 GKE

  2. 在「Kubernetes clusters」(Kubernetes 叢集) 清單中,按一下叢集名稱。

  3. 在「安全性」下方的「二進位授權」列中,按一下「編輯」圖示 ()。

  4. 在「編輯二進位授權」對話方塊中,選取「啟用二進位授權」核取方塊,然後按一下「儲存變更」

gcloud

如果是可用區叢集,請輸入下列指令:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

更改下列內容:

  • NAME:要啟用二進位授權的 GKE 叢集名稱。
  • ZONE:叢集所在的可用區。

叢集可以同時啟用二進位授權強制執行和 CV 監控功能。如要變更 CV 監控和強制執行設定,請將 --binauthz-evaluation-mode 設為下列其中一個值:

  • POLICY_BINDINGS:僅啟用 CV 監控,並停用現有的執行政策 (如有)
  • PROJECT_SINGLETON_POLICY_ENFORCE:僅啟用強制執行,並停用先前啟用的 CV 監控功能
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE:同時啟用強制執行和 CV 監控

如要進一步瞭解 CV 政策和叢集管理,請參閱「管理 CV 平台政策」。

或者,如果是地區叢集,請輸入下列指令:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

更改下列內容:

  • NAME:要啟用二進位授權的 GKE 叢集名稱。
  • REGION:叢集所在的區域。

叢集可以同時啟用二進位授權強制執行和 CV 監控功能。如要變更 CV 監控和強制執行設定,請將 --binauthz-evaluation-mode 設為下列其中一個值:

  • POLICY_BINDINGS:僅啟用 CV 監控,並停用現有的執行政策 (如有)
  • PROJECT_SINGLETON_POLICY_ENFORCE:僅啟用強制執行,並停用先前啟用的 CV 監控功能
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE:同時啟用強制執行和 CV 監控

如要進一步瞭解 CV 政策和叢集管理,請參閱「管理 CV 平台政策」。

後續步驟