Mengaktifkan validasi berkelanjutan di tingkat armada

Jika telah mengaktifkan edisi Google Kubernetes Engine (GKE) Enterprise, Anda dapat mengaktifkan validasi berkelanjutan (CV) sebagai konfigurasi default fleet. Artinya, setiap GKE baru di cluster Google Cloud yang terdaftar selama pembuatan cluster akan mengaktifkan CV di cluster. Anda dapat mengetahui lebih lanjut konfigurasi default fleet di Mengelola fitur tingkat fleet.

Sebelum memulai

  1. Aktifkan Otorisasi Biner.
  2. Aktifkan GKE Enterprise.
  3. Update Google Cloud CLI ke versi 457.0.0 atau yang lebih baru.
  4. Buat kebijakan platform.

Mengaktifkan di armada baru

Untuk mengaktifkan CV di fleet baru, jalankan perintah berikut:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ganti kode berikut:

  • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
  • POLICY_ID: ID kebijakan

Anda juga dapat membuat grup baru dengan beberapa kebijakan platform:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Mengaktifkan di perangkat yang ada

Jika sudah memiliki armada, Anda dapat mengaktifkan CV. Namun, mengaktifkan CV untuk fleet yang ada tidak memengaruhi workload di cluster anggota fleet yang ada. Jika ingin workload yang ada mengaktifkan CV, Anda harus mengaktifkan fitur di setiap cluster.

Untuk mengaktifkan CV di fleet yang ada, jalankan perintah berikut:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ganti kode berikut:

  • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
  • POLICY_ID: ID kebijakan

Nonaktifkan

Menonaktifkan CV hanya memengaruhi workload di cluster anggota fleet baru. Jika ingin CV dinonaktifkan untuk workload yang ada, Anda harus menonaktifkan fitur tersebut di setiap cluster.

Untuk menonaktifkan CV di cluster anggota baru, jalankan perintah berikut:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED