在車隊層級啟用持續驗證

如果您在 Google Kubernetes Engine 叢集中使用車隊,可以將持續驗證 (CV) 設為車隊預設設定。也就是說,凡是在叢集建立期間註冊的新 GKE on Google Cloud 叢集,都會在叢集上啟用 CV。如要進一步瞭解機群預設設定,請參閱「管理機群層級功能」。

事前準備

  1. 啟用二進位授權

  2. 啟用 GKE API。

    啟用 GKE API

  3. 將 Google Cloud CLI 更新至 457.0.0 以上版本。

  4. 建立平台政策

在新機群上啟用

如要在新機群上啟用 CV,請執行下列指令:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

更改下列內容:

  • POLICY_PROJECT_ID:儲存政策的專案 ID
  • POLICY_ID:政策 ID

您也可以建立新的機群,並採用多項平台政策:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

在現有車隊中啟用

如果您已有車隊,可以啟用 CV。不過,為現有機群啟用 CV 不會影響現有機群成員叢集中的工作負載。如要讓現有工作負載啟用 CV,請在個別叢集上啟用這項功能

如要在現有機群上啟用 CV,請執行下列指令:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

更改下列內容:

  • POLICY_PROJECT_ID:儲存政策的專案 ID
  • POLICY_ID:政策 ID

停用

停用 CV 只會影響新機群成員叢集中的工作負載。 如要為現有工作負載停用 CV,請在個別叢集停用這項功能

如要停用任何新成員叢集的 CV,請執行下列指令:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED