Google Kubernetes Engine(GKE)Enterprise エディションを有効にしている場合は、継続的検証(CV)をフリートのデフォルト構成として有効にできます。つまり、クラスタの作成中に登録された Google Cloud 上の新しい GKE クラスタはすべて、クラスタで CV が有効になります。フリートのデフォルト構成の詳細については、フリートレベルの機能を管理するをご覧ください。
始める前に
- Binary Authorization を有効にします。
- GKE Enterprise を有効にします。
- バージョン 457.0.0 以降に Google Cloud CLI を更新します。
- プラットフォーム ポリシーを作成します。
新しいフリートで有効にする
新しいフリートで CV を有効にするには、次のコマンドを実行します。
gcloud container fleet create \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
次のように置き換えます。
POLICY_PROJECT_ID: ポリシーが保存されているプロジェクトの IDPOLICY_ID: ポリシー ID
複数のプラットフォーム ポリシーを使用して新しいフリートを作成することもできます。
gcloud container fleet create \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2
既存のフリートで有効にする
既存のフリートがある場合は、CV を有効にできます。ただし、既存のフリートで CV を有効にしても、既存のフリート メンバー クラスタ内のワークロードには影響しません。既存のワークロードで CV を有効にするには、個々のクラスタでこの機能を有効にする必要があります。
既存のフリートで CV を有効にするには、次のコマンドを実行します。
gcloud container fleet update \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
次のように置き換えます。
POLICY_PROJECT_ID: ポリシーが保存されているプロジェクトの IDPOLICY_ID: ポリシー ID
無効にする
CV を無効にすると、新しいフリート メンバー クラスタ内のワークロードにのみ影響します。既存のワークロードで CV を無効にするには、個々のクラスタでこの機能を無効にする必要があります。
新しいメンバー クラスタで CV を無効にするには、次のコマンドを実行します。
gcloud container fleet update \
--binauthz-evaluation-mode=DISABLED