如果您已启用 Google Kubernetes Engine (GKE) Enterprise 版本,则可以将持续验证 (CV) 作为舰队默认配置启用。这意味着每个在集群创建期间注册的新的 GKE on Google Cloud 集群都将在该集群上启用 CV。您可以在管理舰队级功能中详细了解舰队默认配置。
准备工作
- 启用 Binary Authorization。
- 启用 GKE Enterprise。
- 更新 Google Cloud CLI 到 457.0.0 版或更高版本。
- 创建平台政策。
在新舰队上启用
要在新舰队上启用 CV,请运行以下命令:
gcloud container fleet create \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
替换以下内容:
POLICY_PROJECT_ID:存储政策的项目的 IDPOLICY_ID:政策 ID
您还可以创建一个具有多个平台政策的新舰队:
gcloud container fleet create \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2
在现有舰队上启用
如果您已有舰队,则可以启用 CV。但是,为现有舰队启用 CV 不会影响现有舰队成员集群中的工作负载。如果您希望现有工作负载启用 CV,则需要在单个集群上启用此功能。
要在现有舰队上启用 CV,请运行以下命令:
gcloud container fleet update \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
替换以下内容:
POLICY_PROJECT_ID:存储政策的项目的 IDPOLICY_ID:政策 ID
停用
停用 CV 只会影响新舰队成员集群中的工作负载。如果您希望现有工作负载停用 CV,则需要在单个集群上停用此功能。
要在任何新的成员集群上停用 CV,请运行以下命令:
gcloud container fleet update \
--binauthz-evaluation-mode=DISABLED