Mengaktifkan validasi berkelanjutan di tingkat perangkat

Jika telah mengaktifkan edisi Google Kubernetes Engine (GKE) Enterprise, Anda dapat mengaktifkan validasi berkelanjutan sebagai konfigurasi default fleet. Artinya, setiap GKE baru di cluster Google Cloud yang terdaftar selama pembuatan cluster akan mengaktifkan CV di cluster tersebut. Anda dapat mengetahui konfigurasi default fleet lebih lanjut di bagian Mengelola fitur level fleet.

Sebelum memulai

  1. Aktifkan Otorisasi Biner.
  2. Aktifkan GKE Enterprise.
  3. Update Google Cloud CLI ke versi 457.0.0 atau yang lebih baru.
  4. Buat kebijakan platform.

Aktifkan di perangkat baru

Untuk mengaktifkan CV pada fleet baru, jalankan perintah berikut:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ganti kode berikut:

  • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
  • POLICY_ID: ID kebijakan

Anda juga dapat membuat fleet baru dengan beberapa kebijakan platform:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Aktifkan di perangkat yang ada

Jika sudah memiliki fleet, Anda dapat mengaktifkan CV. Namun, mengaktifkan CV untuk fleet yang ada tidak memengaruhi workload di cluster anggota fleet yang ada. Jika ingin workload yang ada mengaktifkan CV, Anda harus mengaktifkan fitur tersebut di masing-masing cluster.

Untuk mengaktifkan CV di fleet yang ada, jalankan perintah berikut:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ganti kode berikut:

  • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
  • POLICY_ID: ID kebijakan

Nonaktifkan

Menonaktifkan CV hanya memengaruhi workload di cluster anggota fleet baru. Jika ingin beban kerja yang ada menonaktifkan CV, Anda harus menonaktifkan fitur di cluster individual.

Untuk menonaktifkan CV pada cluster anggota baru, jalankan perintah berikut:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED