Habilita la validación continua a nivel de la flota

Si habilitaste la edición empresarial de Google Kubernetes Engine (GKE), puedes habilitar la validación continua como una configuración predeterminada de la flota. Esto significa que cada clúster nuevo de GKE en Google Cloud registrado durante la creación del clúster tendrá habilitada la CV en el clúster. Puedes obtener más información sobre la configuración predeterminada de la flota en Administra funciones a nivel de la flota.

Antes de comenzar

  1. Habilita la autorización binaria.
  2. Habilita GKE Enterprise.
  3. Actualiza Google Cloud CLI a la versión 457.0.0 o una posterior.
  4. Crea las políticas de la plataforma.

Habilita en una flota nueva

Para habilitar la CV en una flota nueva, ejecuta el siguiente comando:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Reemplaza lo siguiente:

  • POLICY_PROJECT_ID: el ID del proyecto en el que se almacena la política
  • POLICY_ID: el ID de la política

También puedes crear una flota nueva con varias políticas de plataforma:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Habilita en una flota existente

Si ya tienes una flota, puedes habilitar la CV. Sin embargo, habilitar la CV para una flota existente no afecta las cargas de trabajo en los clústeres miembros existentes de la flota. Si deseas que las cargas de trabajo existentes tengan habilitada la CV, debes habilitar la función en clústeres individuales.

Para habilitar la CV en una flota existente, ejecuta el siguiente comando:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Reemplaza lo siguiente:

  • POLICY_PROJECT_ID: el ID del proyecto en el que se almacena la política
  • POLICY_ID: el ID de la política

Inhabilitar

La inhabilitación de la CV solo afecta las cargas de trabajo en los clústeres nuevos de los miembros de la flota. Si deseas que la CV tenga inhabilitada la CV, debes inhabilitar la función en clústeres individuales.

Para inhabilitar la CV en cualquier clúster de miembro nuevo, ejecuta el siguiente comando:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED