Google Kubernetes Engine(GKE) Enterprise 버전을 사용 설정한 경우 지속적 검증을 Fleet 기본 구성으로 사용 설정할 수 있습니다. 즉, 클러스터 생성 중 등록되는 Google Cloud 클러스터의 모든 신규 GKE는 클러스터에 CV가 사용 설정됩니다. Fleet 기본 구성에 대한 자세한 내용은 Fleet 수준 기능 관리를 참조하세요.
시작하기 전에
- Binary Authorization을 사용 설정합니다.
- GKE Enterprise를 사용 설정합니다.
- 버전 457.0.0 이상으로 Google Cloud CLI를 업데이트합니다.
- 플랫폼 정책을 만듭니다.
새 Fleet에 사용 설정
새 Fleet에서 CV를 사용 설정하려면 다음 명령어를 실행합니다.
gcloud container fleet create \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
다음을 바꿉니다.
POLICY_PROJECT_ID: 정책이 저장된 프로젝트의 IDPOLICY_ID: 정책 ID
여러 플랫폼 정책으로 새 Fleet을 만들 수도 있습니다.
gcloud container fleet create \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2
기존 Fleet에 사용 설정
기존 Fleet가 있으면 CV를 사용 설정할 수 있습니다. 하지만 기존 Fleet에 대해 CV를 사용 설정하면 기존 Fleet 멤버 클러스터에 있는 워크로드에 영향을 주지 않습니다. 기존 워크로드에 CV를 사용 설정하려면 개별 클러스터에서 기능을 사용 설정해야 합니다.
기존 Fleet에 CV를 사용 설정하려면 다음 명령어를 실행합니다.
gcloud container fleet update \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
다음을 바꿉니다.
POLICY_PROJECT_ID: 정책이 저장된 프로젝트의 IDPOLICY_ID: 정책 ID
사용 중지
CV를 사용 중지하면 새 Fleet 멤버 클러스터의 워크로드에만 영향을 줍니다. 기존 워크로드에 CV를 사용 중지하려면 개별 클러스터에서 기능을 사용 중지해야 합니다.
새 멤버 클러스터에서 CV를 사용 중지하려면 다음 명령어를 실행합니다.
gcloud container fleet update \
--binauthz-evaluation-mode=DISABLED