如果您已啟用 Google Kubernetes Engine (GKE) Enterprise 版,可以將持續驗證 (CV) 設為車隊預設設定。也就是說,凡是在叢集建立期間註冊的新 GKE on Google Cloud 叢集,都會在叢集上啟用 CV。如要進一步瞭解機群預設設定,請參閱「管理機群層級功能」。
事前準備
- 啟用二進位授權。
- 啟用 GKE Enterprise。
- 將 Google Cloud CLI 更新至 457.0.0 以上版本。
- 建立平台政策。
在新機群上啟用
如要在新機群上啟用 CV,請執行下列指令:
gcloud container fleet create \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
更改下列內容:
POLICY_PROJECT_ID:儲存政策的專案 IDPOLICY_ID:政策 ID
您也可以建立新的機群,並採用多項平台政策:
gcloud container fleet create \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2
在現有車隊中啟用
如果您已有車隊,可以啟用 CV。不過,為現有機群啟用 CV 不會影響現有機群成員叢集中的工作負載。如要為現有工作負載啟用 CV,請在個別叢集上啟用這項功能。
如要在現有機群上啟用 CV,請執行下列指令:
gcloud container fleet update \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
更改下列內容:
POLICY_PROJECT_ID:儲存政策的專案 IDPOLICY_ID:政策 ID
停用
停用 CV 只會影響新機群成員叢集中的工作負載。 如要為現有工作負載停用 CV,請在個別叢集停用這項功能。
如要停用任何新成員叢集的 CV,請執行下列指令:
gcloud container fleet update \
--binauthz-evaluation-mode=DISABLED