Kontinuierliche Validierung (CV) auf Flottenebene aktivieren

Wenn Sie die Google Kubernetes Engine (GKE) Enterprise-Version aktiviert haben, können Sie CV als Flotten-Standardkonfiguration aktivieren. Dies bedeutet, dass für jeden neuen GKE-Cluster in Google Cloud, der während der Clustererstellung registriert wird, CV im Cluster aktiviert ist. Weitere Informationen zur Standardkonfiguration für Flotten finden Sie unter Features auf Flottenebene verwalten.

Hinweise

  1. Binärautorisierung aktivieren
  2. GKE Enterprise aktivieren
  3. Aktualisieren Sie die Google Cloud CLI auf Version 457.0.0 oder höher.
  4. Erstellen Sie Ihre Plattformrichtlinien.

Für eine neue Flotte aktivieren

Führen Sie den folgenden Befehl aus, um CV für eine neue Flotte zu aktivieren:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ersetzen Sie Folgendes:

  • POLICY_PROJECT_ID: die ID des Projekts, in dem die Richtlinie gespeichert ist
  • POLICY_ID: die Richtlinien-ID

Sie können auch eine neue Flotte mit mehreren Plattformrichtlinien erstellen:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Für eine vorhandene Flotte aktivieren

Wenn Sie bereits eine Flotte haben, können Sie CV aktivieren. Das Aktivieren von CV für eine vorhandene Flotte wirkt sich jedoch nicht auf Arbeitslasten in vorhandenen Flottenmitgliedsclustern aus. Wenn CV für vorhandene Arbeitslasten aktiviert sein soll, müssen Sie das Feature auf einzelnen Clustern aktivieren.

Führen Sie den folgenden Befehl aus, um CV in einer vorhandenen Flotte zu aktivieren:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ersetzen Sie Folgendes:

  • POLICY_PROJECT_ID: die ID des Projekts, in dem die Richtlinie gespeichert ist
  • POLICY_ID: die Richtlinien-ID

Deaktivieren

Das Deaktivieren von CV wirkt sich nur auf Arbeitslasten in neuen Flottenmitgliedsclustern aus. Wenn für vorhandene Arbeitslasten CV deaktiviert sein soll, müssen Sie das Feature auf einzelnen Clustern deaktivieren.

Führen Sie den folgenden Befehl aus, um CV in allen neuen Mitgliedsclustern zu deaktivieren:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED