CV プラットフォーム ポリシーを管理する

プラットフォーム ポリシーを管理する

このセクションでは、CV プラットフォーム ポリシーの管理方法について説明します。

プラットフォーム ポリシーを作成する

このセクションでは、プラットフォーム ポリシーの作成方法について説明します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • POLICY_ID: 選択したプラットフォーム ポリシー ID。ポリシーが別のプロジェクトにある場合、完全なリソース名 projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID を使用できます。
  • POLICY_PATH: ポリシー ファイルのパス。
  • POLICY_PROJECT_ID: ポリシー プロジェクト ID。

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud beta container binauthz policy create POLICY_ID \
    --platform=gke \
    --policy-file=POLICY_PATH \
    --project=POLICY_PROJECT_ID

Windows(PowerShell)

gcloud beta container binauthz policy create POLICY_ID `
    --platform=gke `
    --policy-file=POLICY_PATH `
    --project=POLICY_PROJECT_ID

Windows(cmd.exe)

gcloud beta container binauthz policy create POLICY_ID ^
    --platform=gke ^
    --policy-file=POLICY_PATH ^
    --project=POLICY_PROJECT_ID

CV プラットフォーム ポリシーを一覧表示する

このセクションでは、プラットフォーム ポリシーを一覧表示する方法について説明します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • POLICY_PROJECT_ID: 一覧表示するポリシーを含むプロジェクトの ID

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud beta container binauthz policy list gke \
    --project=POLICY_PROJECT_ID

Windows(PowerShell)

gcloud beta container binauthz policy list gke `
    --project=POLICY_PROJECT_ID

Windows(cmd.exe)

gcloud beta container binauthz policy list gke ^
    --project=POLICY_PROJECT_ID

CV プラットフォーム ポリシーの説明を取得する

このセクションでは、プラットフォーム ポリシー プロジェクトの説明を取得する方法について説明します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • POLICY_PROJECT_ID: ポリシーが含まれているプロジェクトの ID。
  • POLICY_ID: プラットフォーム ポリシー ID。ポリシーが別のプロジェクトにある場合、完全なリソース名 projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID を使用できます。

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud beta container binauthz policy describe POLICY_ID \
    --project=POLICY_PROJECT_ID \
    --platform=gke 

Windows(PowerShell)

gcloud beta container binauthz policy describe POLICY_ID `
    --project=POLICY_PROJECT_ID `
    --platform=gke 

Windows(cmd.exe)

gcloud beta container binauthz policy describe POLICY_ID ^
    --project=POLICY_PROJECT_ID ^
    --platform=gke 

CV プラットフォーム ポリシーを更新する

このセクションでは、プラットフォーム ポリシーの更新方法について説明します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • POLICY_ID: プラットフォーム ポリシー ID。ポリシーが別のプロジェクトにある場合、完全なリソース名 projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID を使用できます。
  • POLICY_PROJECT_ID: ポリシー プロジェクト ID
  • POLICY_PATH: 更新されたポリシー ファイルのパス

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud beta container binauthz policy update POLICY_ID \
  --policy-file=POLICY_PATH \
  --platform=gke \
  --project=POLICY_PROJECT_ID

Windows(PowerShell)

gcloud beta container binauthz policy update POLICY_ID `
  --policy-file=POLICY_PATH `
  --platform=gke `
  --project=POLICY_PROJECT_ID

Windows(cmd.exe)

gcloud beta container binauthz policy update POLICY_ID ^
  --policy-file=POLICY_PATH ^
  --platform=gke ^
  --project=POLICY_PROJECT_ID

CV プラットフォーム ポリシーを削除する

このセクションでは、プラットフォーム ポリシーの削除方法について説明します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • POLICY_ID: ローカル プラットフォーム ポリシーの ID。ポリシーが別のプロジェクトにある場合、完全なリソース名 projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID を使用できます。
  • POLICY_PROJECT_ID: ポリシー プロジェクト ID

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud beta container binauthz policy delete POLICY_ID  \
    --platform=gke \
    --project=POLICY_PROJECT_ID

Windows(PowerShell)

gcloud beta container binauthz policy delete POLICY_ID  `
    --platform=gke `
    --project=POLICY_PROJECT_ID

Windows(cmd.exe)

gcloud beta container binauthz policy delete POLICY_ID  ^
    --platform=gke ^
    --project=POLICY_PROJECT_ID

CV ポリシーを使用して GKE クラスタを管理する

このセクションでは、GKE のプラットフォーム ポリシーを使用して CV を有効にする方法について説明します。

CV モニタリングのみを使用するようにクラスタを更新する

このセクションでは、CV プラットフォームのポリシーベースのモニタリングのみを使用するようにクラスタを更新する方法について説明します。このクラスタですでにプロジェクト シングルトン ポリシーの適用が有効になっている場合、このコマンドを実行すると、このポリシーが無効になります。代わりに、適用と CV モニタリングを有効にしてクラスタを更新することを検討してください。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • CLUSTER_NAME: クラスタ名
  • LOCATION: ロケーション(例: us-central1asia-south1
  • POLICY_PROJECT_ID: ポリシーが保存されているプロジェクトの ID
  • POLICY_ID: ポリシー ID
  • CLUSTER_PROJECT_ID: クラスタ プロジェクト ID

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows(PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows(cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

CV モニタリングで Binary Authorization の適用を使用するようにクラスタを更新する

このセクションでは、プロジェクト シングルトン ポリシーの適用と CV プラットフォームのポリシーベースのモニタリングの両方を使用するようにクラスタを更新する方法について説明します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • CLUSTER_NAME: クラスタ名
  • LOCATION: ロケーション(例: us-central1asia-south1
  • POLICY_PROJECT_ID: ポリシーが保存されているプロジェクトの ID
  • POLICY_ID: ポリシー ID
  • CLUSTER_PROJECT_ID: クラスタ プロジェクト ID

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows(PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows(cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

CV を無効にする

Binary Authorization と適用のプロジェクト シングルトン ポリシーも使用する GKE クラスタで CV を有効にできます。

このような状況で CV のみを無効にするには、次のコマンドを実行します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • CLUSTER_NAME: クラスタ名
  • LOCATION: ロケーション(例: us-central1asia-south1
  • POLICY_PROJECT_ID: ポリシーが保存されているプロジェクトの ID
  • POLICY_ID: ポリシー ID
  • CLUSTER_PROJECT_ID: クラスタ プロジェクト ID

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows(PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows(cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

次のステップ