Activer la validation continue au niveau du parc

Si vous avez activé l'édition Enterprise Google Kubernetes Engine (GKE), vous pouvez activer la validation continue en tant que configuration par défaut du parc. Cela signifie que la CV est activée sur chaque nouveau cluster GKE sur Google Cloud enregistré lors de la création du cluster. Pour en savoir plus sur la configuration par défaut du parc, consultez la page Gérer les fonctionnalités au niveau du parc.

Avant de commencer

  1. Activer l'autorisation binaire.
  2. Activer GKE Enterprise
  3. Mettez à jour Google Cloud CLI vers la version 457.0.0 ou une version ultérieure.
  4. Créez vos règles de plate-forme.

Activer sur un nouveau parc

Pour activer la CV sur un nouveau parc, exécutez la commande suivante:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Remplacez les éléments suivants :

  • POLICY_PROJECT_ID : ID du projet dans lequel la règle est stockée
  • POLICY_ID : ID de la règle

Vous pouvez également créer un parc avec plusieurs règles de plate-forme :

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Activer dans un parc existant

Si vous disposez d'un parc, vous pouvez activer la CV. Toutefois, l'activation de la CV pour un parc existant n'affecte pas les charges de travail des clusters membres du parc existants. Si vous souhaitez que les charges de travail existantes soient activées, vous devez activer la fonctionnalité sur des clusters individuels.

Pour activer la CV sur un parc existant, exécutez la commande suivante :

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Remplacez les éléments suivants :

  • POLICY_PROJECT_ID : ID du projet dans lequel la règle est stockée
  • POLICY_ID : ID de la règle

Désactiver

La désactivation de la CV n'affecte que les charges de travail des clusters membres des parcs. Si vous souhaitez désactiver la CV pour les charges de travail existantes, vous devez désactiver cette fonctionnalité sur des clusters individuels.

Pour désactiver la CV sur les nouveaux clusters membres, exécutez la commande suivante:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED