Gerenciar políticas da plataforma de CV

Gerenciar políticas de plataforma

Veja nesta seção como gerenciar as políticas da plataforma de CV.

Criar uma política de plataforma

Nesta seção, mostramos como criar uma política de plataforma.

Antes de usar os dados do comando abaixo, faça estas substituições:

POLICY_ID: um ID de política de plataforma de sua escolha Se a política estiver em outro projeto, use o nome completo do recurso: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
POLICY_PATH: um caminho para o arquivo de política.
POLICY_PROJECT_ID: o ID do projeto de política.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta container binauthz policy create POLICY_ID \
    --platform=gke \
    --policy-file=POLICY_PATH \
    --project=POLICY_PROJECT_ID

Windows (PowerShell)

gcloud beta container binauthz policy create POLICY_ID `
    --platform=gke `
    --policy-file=POLICY_PATH `
    --project=POLICY_PROJECT_ID

Windows (cmd.exe)

gcloud beta container binauthz policy create POLICY_ID ^
    --platform=gke ^
    --policy-file=POLICY_PATH ^
    --project=POLICY_PROJECT_ID

Listar uma política de plataforma de CV

Nesta seção, mostramos como listar as políticas de plataforma.

Antes de usar os dados do comando abaixo, faça estas substituições:

POLICY_PROJECT_ID: o ID do projeto que contém as políticas a serem listadas

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta container binauthz policy list gke \
    --project=POLICY_PROJECT_ID

Windows (PowerShell)

gcloud beta container binauthz policy list gke `
    --project=POLICY_PROJECT_ID

Windows (cmd.exe)

gcloud beta container binauthz policy list gke ^
    --project=POLICY_PROJECT_ID

Descrever uma política de plataforma de CV

Nesta seção, mostramos como descrever um projeto de política da plataforma.

Antes de usar os dados do comando abaixo, faça estas substituições:

POLICY_PROJECT_ID: o ID do projeto que contém a política.
POLICY_ID: o ID da política da plataforma. Se a política estiver em outro projeto, use o nome completo do recurso: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta container binauthz policy describe POLICY_ID \
    --project=POLICY_PROJECT_ID \
    --platform=gke

Windows (PowerShell)

gcloud beta container binauthz policy describe POLICY_ID `
    --project=POLICY_PROJECT_ID `
    --platform=gke

Windows (cmd.exe)

gcloud beta container binauthz policy describe POLICY_ID ^
    --project=POLICY_PROJECT_ID ^
    --platform=gke

Atualizar uma política de plataforma de CV

Esta seção mostra como atualizar uma política da plataforma.

Antes de usar os dados do comando abaixo, faça estas substituições:

POLICY_ID: um ID de política da plataforma. Se a política estiver em outro projeto, use o nome completo do recurso: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
POLICY_PROJECT_ID: o ID do projeto de política
POLICY_PATH: um caminho para o arquivo de política atualizado.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta container binauthz policy update POLICY_ID \
  --policy-file=POLICY_PATH \
  --platform=gke \
  --project=POLICY_PROJECT_ID

Windows (PowerShell)

gcloud beta container binauthz policy update POLICY_ID `
  --policy-file=POLICY_PATH `
  --platform=gke `
  --project=POLICY_PROJECT_ID

Windows (cmd.exe)

gcloud beta container binauthz policy update POLICY_ID ^
  --policy-file=POLICY_PATH ^
  --platform=gke ^
  --project=POLICY_PROJECT_ID

Excluir uma política da plataforma de CV

Nesta seção, mostramos como excluir uma política de plataforma.

Antes de usar os dados do comando abaixo, faça estas substituições:

POLICY_ID: o ID da política da plataforma local. Se a política estiver em outro projeto, use o nome completo do recurso: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
POLICY_PROJECT_ID: o ID do projeto de política

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta container binauthz policy delete POLICY_ID  \
    --platform=gke \
    --project=POLICY_PROJECT_ID

Windows (PowerShell)

gcloud beta container binauthz policy delete POLICY_ID  `
    --platform=gke `
    --project=POLICY_PROJECT_ID

Windows (cmd.exe)

gcloud beta container binauthz policy delete POLICY_ID  ^
    --platform=gke ^
    --project=POLICY_PROJECT_ID

Gerenciar clusters do GKE com políticas de CV

Nesta seção, mostramos como ativar a CV por meio das políticas de plataforma para o GKE.

Atualizar cluster para usar apenas o monitoramento de CV

Nesta seção, mostramos como atualizar um cluster para usar apenas o monitoramento baseado em políticas da plataforma CV. Se esse cluster já tiver uma aplicação de política de projeto singleton ativada, a execução desse comando o desativará. Em vez disso, atualize o cluster com a aplicação e o monitoramento de CV ativados.

Antes de usar os dados do comando abaixo, faça estas substituições:

CLUSTER_NAME: o nome do cluster
LOCATION: o local, por exemplo: us-central1 ou asia-south1
POLICY_PROJECT_ID: o ID do projeto em que a política está armazenada
POLICY_ID: o ID da política
CLUSTER_PROJECT_ID: o ID do projeto do cluster

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows (PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows (cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Atualizar um cluster para usar a aplicação da autorização binária com o monitoramento de CV

Esta seção mostra como atualizar um cluster para usar a aplicação da política de Singleton do projeto e o monitoramento baseado em políticas da plataforma de CV.

Antes de usar os dados do comando abaixo, faça estas substituições:

CLUSTER_NAME: um nome de cluster
LOCATION: o local, por exemplo: us-central1 ou asia-south1
POLICY_PROJECT_ID: o ID do projeto em que a política está armazenada
POLICY_ID: o ID da política
CLUSTER_PROJECT_ID: o ID do projeto do cluster

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows (PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows (cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Desativar a CV

É possível ativar o CV em um cluster do GKE que também usa a autorização binária e a política de projeto singleton para aplicação.

Se esse for o caso e você quiser desativar apenas a CV, execute o seguinte comando:

Antes de usar os dados do comando abaixo, faça estas substituições:

CLUSTER_NAME: um nome de cluster
LOCATION: o local, por exemplo: us-central1 ou asia-south1
POLICY_PROJECT_ID: o ID do projeto em que a política está armazenada
POLICY_ID: o ID da política
CLUSTER_PROJECT_ID: o ID do projeto do cluster

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows (PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows (cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Gerenciar políticas da plataforma de CV

Gerenciar políticas de plataforma

Criar uma política de plataforma

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Listar uma política de plataforma de CV

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Descrever uma política de plataforma de CV

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Atualizar uma política de plataforma de CV

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Excluir uma política da plataforma de CV

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Gerenciar clusters do GKE com políticas de CV

Atualizar cluster para usar apenas o monitoramento de CV

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Atualizar um cluster para usar a aplicação da autorização binária com o monitoramento de CV

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Desativar a CV

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

A seguir