Kontinuierliche Validierung (CV) auf Flottenebene aktivieren

Wenn Sie die Google Kubernetes Engine (GKE) Enterprise-Version aktiviert haben, können Sie CV als Flotten-Standardkonfiguration aktivieren. Dies bedeutet, dass für jeden neuen GKE-Cluster in Google Cloud, der während der Clustererstellung registriert wird, CV im Cluster aktiviert ist. Weitere Informationen zur Standardkonfiguration für Flotten finden Sie unter Features auf Flottenebene verwalten.

Hinweise

  1. Binärautorisierung aktivieren
  2. GKE Enterprise aktivieren
  3. Aktualisieren Sie die Google Cloud CLI auf Version 457.0.0 oder höher.
  4. Erstellen Sie Ihre Plattformrichtlinien.

Für eine neue Flotte aktivieren

Führen Sie den folgenden Befehl aus, um CV für eine neue Flotte zu aktivieren:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ersetzen Sie Folgendes:

  • POLICY_PROJECT_ID: die ID des Projekts, in dem die Richtlinie gespeichert ist
  • POLICY_ID: die Richtlinien-ID

Sie können auch eine neue Flotte mit mehreren Plattformrichtlinien erstellen:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Für eine vorhandene Flotte aktivieren

Wenn Sie bereits eine Flotte haben, können Sie CV aktivieren. Das Aktivieren von CV für eine vorhandene Flotte wirkt sich jedoch nicht auf Arbeitslasten in vorhandenen Flottenmitglieder-Clustern aus. Wenn Sie für vorhandene Arbeitslasten CV aktivieren möchten, müssen Sie die Funktion in den einzelnen Clustern aktivieren.

Führen Sie den folgenden Befehl aus, um CV in einer vorhandenen Flotte zu aktivieren:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ersetzen Sie Folgendes:

  • POLICY_PROJECT_ID: die ID des Projekts, in dem die Richtlinie gespeichert ist
  • POLICY_ID: die Richtlinien-ID

Deaktivieren

Das Deaktivieren von CV wirkt sich nur auf Arbeitslasten in neuen Flottenmitglieder-Clustern aus. Wenn Sie möchten, dass CV für bestehende Arbeitslasten deaktiviert wird, müssen Sie das Feature für einzelne Cluster deaktivieren.

Führen Sie den folgenden Befehl aus, um CV in allen neuen Mitgliedsclustern zu deaktivieren:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED