Abilita la convalida continua a livello di parco risorse

Se hai abilitato la versione Enterprise di Google Kubernetes Engine (GKE), puoi attivare la convalida continua (CV) come configurazione predefinita per il parco. Ciò significa che su ogni nuovo cluster GKE su Google Cloud registrato durante la creazione del cluster sarà attivata la CV. Puoi scoprire di più sulla configurazione predefinita del parco risorse Gestire le funzionalità a livello di parco risorse.

Prima di iniziare

  1. Abilita Autorizzazione binaria.
  2. Abilita GKE Enterprise.
  3. Aggiorna Google Cloud CLI alla versione 457.0.0 o successiva.
  4. Crea le norme della piattaforma.

Abilita su un nuovo parco risorse

Per abilitare la verifica in un nuovo parco risorse, esegui questo comando:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Sostituisci quanto segue:

  • POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterio
  • POLICY_ID: l'ID del criterio

Puoi anche creare un nuovo parco risorse con più criteri della piattaforma:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Abilita su un parco risorse esistente

Se hai già un parco veicoli, puoi attivare la CV. Tuttavia, attivare la CV per un parco risorse esistente non influisce sui carichi di lavoro nei cluster dei membri del parco risorse esistenti. Se vuoi che i carichi di lavoro esistenti abbiano CV abilitata, devi abilitare la funzione su cluster.

Per abilitare la verifica in un parco risorse esistente, esegui questo comando:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Sostituisci quanto segue:

  • POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterio
  • POLICY_ID: l'ID del criterio

Disabilita

La disattivazione di CV influisce solo sui carichi di lavoro nei nuovi cluster dei membri del parco risorse. Se vuoi che i carichi di lavoro esistenti abbiano disabilitato CV, devi disabilita la funzionalità sui singoli cluster.

Per disabilitare CV su qualsiasi nuovo cluster membro, esegui questo comando: :

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED