Gestionar las políticas de la plataforma de CV

Gestionar políticas de plataforma

En esta sección se describe cómo gestionar las políticas de la plataforma de CV.

Crear una política de la plataforma

En esta sección se explica cómo crear una política de plataforma.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • POLICY_ID: ID de política de plataforma que elijas. Si la política está en otro proyecto, puedes usar el nombre de recurso completo: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
  • POLICY_PATH: ruta al archivo de la política.
  • POLICY_PROJECT_ID: ID del proyecto de la política.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta container binauthz policy create POLICY_ID \
    --platform=gke \
    --policy-file=POLICY_PATH \
    --project=POLICY_PROJECT_ID

Windows (PowerShell)

gcloud beta container binauthz policy create POLICY_ID `
    --platform=gke `
    --policy-file=POLICY_PATH `
    --project=POLICY_PROJECT_ID

Windows (cmd.exe)

gcloud beta container binauthz policy create POLICY_ID ^
    --platform=gke ^
    --policy-file=POLICY_PATH ^
    --project=POLICY_PROJECT_ID

Listar una política de plataforma de CV

En esta sección se explica cómo enumerar las políticas de la plataforma.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • POLICY_PROJECT_ID: el ID del proyecto que contiene las políticas que se van a enumerar

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta container binauthz policy list gke \
    --project=POLICY_PROJECT_ID

Windows (PowerShell)

gcloud beta container binauthz policy list gke `
    --project=POLICY_PROJECT_ID

Windows (cmd.exe)

gcloud beta container binauthz policy list gke ^
    --project=POLICY_PROJECT_ID

Describe una política de plataforma de CV

En esta sección se explica cómo describir un proyecto de política de la plataforma.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • POLICY_PROJECT_ID: el ID del proyecto que contiene la política.
  • POLICY_ID: el ID de la política de la plataforma. Si la política está en otro proyecto, puedes usar el nombre de recurso completo: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta container binauthz policy describe POLICY_ID \
    --project=POLICY_PROJECT_ID \
    --platform=gke

Windows (PowerShell)

gcloud beta container binauthz policy describe POLICY_ID `
    --project=POLICY_PROJECT_ID `
    --platform=gke

Windows (cmd.exe)

gcloud beta container binauthz policy describe POLICY_ID ^
    --project=POLICY_PROJECT_ID ^
    --platform=gke

Actualizar una política de plataforma de CV

En esta sección se explica cómo actualizar una política de la plataforma.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • POLICY_ID: un ID de política de plataforma. Si la política está en otro proyecto, puedes usar el nombre de recurso completo: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
  • POLICY_PROJECT_ID: el ID del proyecto de la política
  • POLICY_PATH: ruta al archivo de la política actualizada

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta container binauthz policy update POLICY_ID \
  --policy-file=POLICY_PATH \
  --platform=gke \
  --project=POLICY_PROJECT_ID

Windows (PowerShell)

gcloud beta container binauthz policy update POLICY_ID `
  --policy-file=POLICY_PATH `
  --platform=gke `
  --project=POLICY_PROJECT_ID

Windows (cmd.exe)

gcloud beta container binauthz policy update POLICY_ID ^
  --policy-file=POLICY_PATH ^
  --platform=gke ^
  --project=POLICY_PROJECT_ID

Eliminar una política de plataforma de CV

En esta sección se explica cómo eliminar una política de plataforma.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • POLICY_ID: ID de la política de la plataforma local. Si la política está en otro proyecto, puedes usar el nombre de recurso completo: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
  • POLICY_PROJECT_ID: el ID del proyecto de la política

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta container binauthz policy delete POLICY_ID  \
    --platform=gke \
    --project=POLICY_PROJECT_ID

Windows (PowerShell)

gcloud beta container binauthz policy delete POLICY_ID  `
    --platform=gke `
    --project=POLICY_PROJECT_ID

Windows (cmd.exe)

gcloud beta container binauthz policy delete POLICY_ID  ^
    --platform=gke ^
    --project=POLICY_PROJECT_ID

Gestionar clústeres de GKE con políticas de CV

En esta sección se explica cómo habilitar la verificación de la versión con políticas de plataforma en GKE.

Actualizar el clúster para que solo use la monitorización de CV

En esta sección se explica cómo actualizar un clúster para que solo use la monitorización basada en políticas de CV platform. Si este clúster ya tiene habilitada una política de singleton de proyecto, al ejecutar este comando se inhabilitará. En su lugar, actualiza el clúster con la monitorización de CV y la aplicación habilitadas.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • CLUSTER_NAME: el nombre del clúster
  • LOCATION: la ubicación (por ejemplo, us-central1 o asia-south1)
  • POLICY_PROJECT_ID: ID del proyecto en el que se almacena la política
  • POLICY_ID: el ID de la política
  • CLUSTER_PROJECT_ID: el ID del proyecto del clúster

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows (PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows (cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Actualizar un clúster para que use la implementación obligatoria de la autorización binaria con la monitorización de CV

En esta sección se explica cómo actualizar un clúster para que use tanto la aplicación de políticas de un solo proyecto como la monitorización basada en políticas de la plataforma CV.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • CLUSTER_NAME: nombre de un clúster
  • LOCATION: la ubicación (por ejemplo, us-central1 o asia-south1)
  • POLICY_PROJECT_ID: ID del proyecto en el que se almacena la política
  • POLICY_ID: el ID de la política
  • CLUSTER_PROJECT_ID: el ID del proyecto del clúster

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows (PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows (cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Inhabilitar CV

Puedes habilitar la verificación de versiones en un clúster de GKE que también use la autorización binaria y la política de singleton de proyecto para la implementación obligatoria.

Si es así y solo quieres inhabilitar la verificación con tarjeta, ejecuta el siguiente comando:

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • CLUSTER_NAME: nombre de un clúster
  • LOCATION: la ubicación (por ejemplo, us-central1 o asia-south1)
  • POLICY_PROJECT_ID: ID del proyecto en el que se almacena la política
  • POLICY_ID: el ID de la política
  • CLUSTER_PROJECT_ID: el ID del proyecto del clúster

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

Windows (PowerShell)

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

Windows (cmd.exe)

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Siguientes pasos