CV 플랫폼 정책 관리

플랫폼 정책 관리

이 섹션에서는 CV 플랫폼 정책을 관리하는 방법을 설명합니다.

플랫폼 정책 만들기

이 섹션에서는 플랫폼 정책을 만드는 방법을 보여줍니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • POLICY_ID: 선택한 플랫폼 정책 ID. 정책이 다른 프로젝트에 있으면 projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID와 같이 전체 리소스 이름을 사용할 수 있습니다.
  • POLICY_PATH: 정책 파일의 경로
  • POLICY_PROJECT_ID: 정책 프로젝트 ID

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta container binauthz policy create POLICY_ID \
    --platform=gke \
    --policy-file=POLICY_PATH \
    --project=POLICY_PROJECT_ID

Windows(PowerShell)

gcloud beta container binauthz policy create POLICY_ID `
    --platform=gke `
    --policy-file=POLICY_PATH `
    --project=POLICY_PROJECT_ID

Windows(cmd.exe)

gcloud beta container binauthz policy create POLICY_ID ^
    --platform=gke ^
    --policy-file=POLICY_PATH ^
    --project=POLICY_PROJECT_ID

CV 플랫폼 정책 나열

이 섹션에서는 플랫폼 정책을 나열하는 방법을 보여줍니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • POLICY_PROJECT_ID: 나열할 정책이 포함된 프로젝트의 ID입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta container binauthz policy list gke \
    --project=POLICY_PROJECT_ID

Windows(PowerShell)

gcloud beta container binauthz policy list gke `
    --project=POLICY_PROJECT_ID

Windows(cmd.exe)

gcloud beta container binauthz policy list gke ^
    --project=POLICY_PROJECT_ID

CV 플랫폼 정책 설명

이 섹션에서는 플랫폼 정책 프로젝트를 설명하는 방법을 보여줍니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • POLICY_PROJECT_ID: 정책이 포함된 프로젝트의 ID
  • POLICY_ID: 플랫폼 정책 ID. 정책이 다른 프로젝트에 있으면 projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID와 같이 전체 리소스 이름을 사용할 수 있습니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta container binauthz policy describe POLICY_ID \
    --project=POLICY_PROJECT_ID \
    --platform=gke

Windows(PowerShell)

gcloud beta container binauthz policy describe POLICY_ID `
    --project=POLICY_PROJECT_ID `
    --platform=gke

Windows(cmd.exe)

gcloud beta container binauthz policy describe POLICY_ID ^
    --project=POLICY_PROJECT_ID ^
    --platform=gke

CV 플랫폼 정책 업데이트

이 섹션에서는 플랫폼 정책을 업데이트하는 방법을 보여줍니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • POLICY_ID: 플랫폼 정책 ID입니다. 정책이 다른 프로젝트에 있으면 projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID와 같이 전체 리소스 이름을 사용할 수 있습니다.
  • POLICY_PROJECT_ID: 정책 프로젝트 ID
  • POLICY_PATH: 업데이트된 정책 파일의 경로

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta container binauthz policy update POLICY_ID \
  --policy-file=POLICY_PATH \
  --platform=gke \
  --project=POLICY_PROJECT_ID

Windows(PowerShell)

gcloud beta container binauthz policy update POLICY_ID `
  --policy-file=POLICY_PATH `
  --platform=gke `
  --project=POLICY_PROJECT_ID

Windows(cmd.exe)

gcloud beta container binauthz policy update POLICY_ID ^
  --policy-file=POLICY_PATH ^
  --platform=gke ^
  --project=POLICY_PROJECT_ID

CV 플랫폼 정책 삭제

이 섹션에서는 플랫폼 정책을 삭제하는 방법을 보여줍니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • POLICY_ID: 로컬 플랫폼 정책의 ID. 정책이 다른 프로젝트에 있으면 projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID와 같이 전체 리소스 이름을 사용할 수 있습니다.
  • POLICY_PROJECT_ID: 정책 프로젝트 ID

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta container binauthz policy delete POLICY_ID  \
    --platform=gke \
    --project=POLICY_PROJECT_ID

Windows(PowerShell)

gcloud beta container binauthz policy delete POLICY_ID  `
    --platform=gke `
    --project=POLICY_PROJECT_ID

Windows(cmd.exe)

gcloud beta container binauthz policy delete POLICY_ID  ^
    --platform=gke ^
    --project=POLICY_PROJECT_ID

CV 정책으로 GKE 클러스터 관리

이 섹션에서는 GKE용 플랫폼 정책으로 CV를 사용 설정하는 방법을 보여줍니다.

CV 모니터링만 사용하도록 클러스터 업데이트

이 섹션에서는 CV 플랫폼 정책 기반 모니터링만 사용하도록 클러스터를 업데이트하는 방법을 보여줍니다. 이 클러스터에 이미 프로젝트 싱글톤 정책 시행이 사용 설정된 경우 이 명령어를 실행하면 사용 중지됩니다. 대신 시행 및 CV 모니터링을 사용 설정하여 클러스터를 업데이트하는 것이 좋습니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • CLUSTER_NAME: 클러스터 이름
  • LOCATION: 위치(예: us-central1 또는 asia-south1)
  • POLICY_PROJECT_ID: 정책이 저장된 프로젝트의 ID
  • POLICY_ID: 정책 ID
  • CLUSTER_PROJECT_ID: 클러스터 프로젝트 ID

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows(PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows(cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

CV 모니터링에 Binary Authorization 시행을 사용하도록 클러스터 업데이트

이 섹션에서는 프로젝트 싱글톤 정책 시행 및 CV 플랫폼 정책 기반 모니터링을 모두 사용하도록 클러스터를 업데이트하는 방법을 보여줍니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • CLUSTER_NAME: 클러스터 이름
  • LOCATION: 위치(예: us-central1 또는 asia-south1)
  • POLICY_PROJECT_ID: 정책이 저장된 프로젝트의 ID
  • POLICY_ID: 정책 ID
  • CLUSTER_PROJECT_ID: 클러스터 프로젝트 ID

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows(PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows(cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

CV 사용 중지

또한 시행을 위해 Binary Authorization 및 프로젝트 싱글톤 정책을 사용하는 CV를 GKE 클러스터에서 사용 설정할 수 있습니다.

이 경우 CV만 사용 중지하려면 다음 명령어를 실행합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • CLUSTER_NAME: 클러스터 이름
  • LOCATION: 위치(예: us-central1 또는 asia-south1)
  • POLICY_PROJECT_ID: 정책이 저장된 프로젝트의 ID
  • POLICY_ID: 정책 ID
  • CLUSTER_PROJECT_ID: 클러스터 프로젝트 ID

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows(PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows(cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

다음 단계