Ativar a validação contínua no nível da frota

Se você ativou o Google Kubernetes Engine (GKE) edição Enterprise, ative a validação contínua como uma configuração padrão da frota. Isso significa que todos os novos clusters do GKE no Google Cloud registrados durante a criação do cluster terão a CV ativada no cluster. Saiba mais sobre a configuração padrão da frota em Gerenciar recursos no nível da frota.

Antes de começar

  1. Ative a autorização binária.
  2. Ativar GKE Enterprise.
  3. Atualize a CLI do Google Cloud para a versão 457.0.0 ou posterior.
  4. Crie as políticas da sua plataforma.

Ativar em uma nova frota

Para ativar a CV em uma frota nova, execute o seguinte comando:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Substitua:

  • POLICY_PROJECT_ID: o ID do projeto em que a política está armazenada
  • POLICY_ID: o ID da política

Também é possível criar uma nova frota com várias políticas de plataforma:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Ativar em uma frota já existente

Se você já tem uma frota, é possível ativar a CV. No entanto, ativar a CV em uma frota já existente não afeta cargas de trabalho em clusters de membros da frota atuais. Se você quiser que as cargas de trabalho atuais tenham a CV ativada, será necessário ativar o recurso em clusters individuais.

Para ativar a CV em uma frota já existente, execute o seguinte comando:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Substitua:

  • POLICY_PROJECT_ID: o ID do projeto em que a política está armazenada
  • POLICY_ID: o ID da política

Desativar

Desativar a CV afeta apenas as cargas de trabalho nos novos clusters de membros da frota. Se você quiser que as cargas de trabalho atuais tenham a CV desativada, será necessário desativar o recurso em clusters individuais.

Para desativar a CV em qualquer cluster de novo membro, execute o seguinte comando:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED