플랫폼 정책 관리
이 섹션에서는 CV 플랫폼 정책을 관리하는 방법을 설명합니다.
플랫폼 정책 만들기
플랫폼 정책을 만들려면 다음 명령어를 실행합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
- POLICY_ID: 선택한 플랫폼 정책 ID입니다. 정책이 다른 프로젝트에 있으면
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID와 같이 전체 리소스 이름을 사용할 수 있습니다. - POLICY_PATH: 정책 파일의 경로입니다.
- POLICY_PROJECT_ID: 정책 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container binauthz policy create POLICY_ID \
--platform=gke \
--policy-file=POLICY_PATH \
--project=POLICY_PROJECT_ID
Windows(PowerShell)
gcloud beta container binauthz policy create POLICY_ID `
--platform=gke `
--policy-file=POLICY_PATH `
--project=POLICY_PROJECT_ID
Windows(cmd.exe)
gcloud beta container binauthz policy create POLICY_ID ^
--platform=gke ^
--policy-file=POLICY_PATH ^
--project=POLICY_PROJECT_ID
CV 플랫폼 정책 나열
현재 프로젝트의 플랫폼 정책을 나열하려면 다음 명령어를 실행합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
POLICY_PROJECT_ID: 나열할 정책이 포함된 프로젝트의 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container binauthz policy list gke \
--project=POLICY_PROJECT_ID
Windows(PowerShell)
gcloud beta container binauthz policy list gke `
--project=POLICY_PROJECT_ID
Windows(cmd.exe)
gcloud beta container binauthz policy list gke ^
--project=POLICY_PROJECT_ID
CV 플랫폼 정책 설명
플랫폼 정책 프로젝트를 설명하려면 다음 명령어를 실행합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
POLICY_PROJECT_ID: 정책이 포함된 프로젝트의 ID입니다.POLICY_ID: 플랫폼 정책 ID입니다. 정책이 다른 프로젝트에 있으면projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID와 같이 전체 리소스 이름을 사용할 수 있습니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container binauthz policy describe POLICY_ID \
--project=POLICY_PROJECT_ID \
--platform=gke
Windows(PowerShell)
gcloud beta container binauthz policy describe POLICY_ID `
--project=POLICY_PROJECT_ID `
--platform=gke
Windows(cmd.exe)
gcloud beta container binauthz policy describe POLICY_ID ^
--project=POLICY_PROJECT_ID ^
--platform=gke
CV 플랫폼 정책 업데이트
현재 프로젝트에서 플랫폼 정책을 업데이트하려면 다음 명령어를 실행합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
- POLICY_ID: 플랫폼 정책 ID입니다. 정책이 다른 프로젝트에 있으면
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID와 같이 전체 리소스 이름을 사용할 수 있습니다. - POLICY_PROJECT_ID: 정책 ID입니다.
- POLICY_PATH: 업데이트된 정책 파일의 경로입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container binauthz policy update POLICY_ID \ --policy-file=POLICY_PATH \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows(PowerShell)
gcloud beta container binauthz policy update POLICY_ID ` --policy-file=POLICY_PATH ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows(cmd.exe)
gcloud beta container binauthz policy update POLICY_ID ^ --policy-file=POLICY_PATH ^ --platform=gke ^ --project=POLICY_PROJECT_ID
CV 플랫폼 정책 삭제
플랫폼 정책을 삭제하려면 다음 명령어를 실행합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
POLICY_ID: 로컬 플랫폼 정책의 ID입니다. 정책이 다른 프로젝트에 있으면projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID와 같이 전체 리소스 이름을 사용할 수 있습니다.- POLICY_PROJECT_ID: 정책 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container binauthz policy delete POLICY_ID \
--platform=gke \
--project=POLICY_PROJECT_ID
Windows(PowerShell)
gcloud beta container binauthz policy delete POLICY_ID `
--platform=gke `
--project=POLICY_PROJECT_ID
Windows(cmd.exe)
gcloud beta container binauthz policy delete POLICY_ID ^
--platform=gke ^
--project=POLICY_PROJECT_ID
CV 정책으로 GKE 클러스터 관리
이 섹션에서는 GKE용 플랫폼 정책으로 CV를 사용 설정하는 방법을 보여줍니다.
플랫폼 정책을 사용하는 CV 클러스터 만들기
CV 플랫폼 정책 기반 모니터링만 사용하는 클러스터를 만들려면 다음 명령어를 실행합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
CLUSTER_NAME: 클러스터 이름입니다.LOCATION: 위치입니다(예:us-central1또는asia-south1).POLICY_PROJECT_ID: 정책이 저장된 프로젝트의 ID입니다.POLICY_ID: 정책 ID입니다.CLUSTER_PROJECT_ID: 클러스터 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \
--location=LOCATION \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
--project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters create CLUSTER_NAME `
--location=LOCATION `
--binauthz-evaluation-mode=POLICY_BINDINGS `
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
--project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^
--location=LOCATION ^
--binauthz-evaluation-mode=POLICY_BINDINGS ^
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
--project=CLUSTER_PROJECT_ID
CV 모니터링과 함께 Binary Authorization 시행을 사용하는 클러스터 만들기
프로젝트 싱글톤 정책 시행과 CV 플랫폼 정책 기반 모니터링을 모두 사용하는 클러스터를 만들려면 다음 명령어를 실행합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
CLUSTER_NAME: 클러스터 이름입니다.LOCATION: 위치입니다(예:us-central1또는asia-south1).POLICY_PROJECT_ID: 정책이 저장된 프로젝트의 ID입니다.POLICY_ID: 정책 ID입니다.CLUSTER_PROJECT_ID: 클러스터 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \
--location=LOCATION \
--binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
--project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters create CLUSTER_NAME `
--location=LOCATION `
--binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
--project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^
--location=LOCATION ^
--binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
--project=CLUSTER_PROJECT_ID
CV 모니터링만 사용하도록 클러스터 업데이트
CV 플랫폼 정책 기반 모니터링만 사용하도록 클러스터를 업데이트하려면 다음 명령어를 실행합니다. 이 클러스터에 이미 프로젝트 싱글톤 정책 시행이 사용 설정된 경우 이 명령어를 실행하면 사용 중지됩니다. 대신 시행 및 CV 모니터링을 사용 설정하여 클러스터를 업데이트하는 것이 좋습니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
CLUSTER_NAME: 클러스터 이름입니다.LOCATION: 위치입니다(예:us-central1또는asia-south1).POLICY_PROJECT_ID: 정책이 저장된 프로젝트의 ID입니다.POLICY_ID: 정책 ID입니다.CLUSTER_PROJECT_ID: 클러스터 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \
--location=LOCATION \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
--project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters update CLUSTER_NAME `
--location=LOCATION `
--binauthz-evaluation-mode=POLICY_BINDINGS `
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
--project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^
--location=LOCATION ^
--binauthz-evaluation-mode=POLICY_BINDINGS ^
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
--project=CLUSTER_PROJECT_ID
CV 모니터링에 Binary Authorization 시행을 사용하도록 클러스터 업데이트
프로젝트 싱글톤 정책 시행과 CV 플랫폼 정책 기반 모니터링을 모두 사용하도록 클러스터를 업데이트하려면 다음 명령어를 실행합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
CLUSTER_NAME: 클러스터 이름입니다.LOCATION: 위치입니다(예:us-central1또는asia-south1).POLICY_PROJECT_ID: 정책이 저장된 프로젝트의 ID입니다.POLICY_ID: 정책 ID입니다.CLUSTER_PROJECT_ID: 클러스터 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \
--location=LOCATION \
--binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
--project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters update CLUSTER_NAME `
--location=LOCATION `
--binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
--project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^
--location=LOCATION ^
--binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
--project=CLUSTER_PROJECT_ID
CV 사용 중지
또한 시행을 위해 Binary Authorization 및 프로젝트 싱글톤 정책을 사용하는 CV를 GKE 클러스터에서 사용 설정할 수 있습니다.
이 경우 CV만 사용 중지하려면 다음 명령어를 실행합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
CLUSTER_NAME: 클러스터 이름입니다.LOCATION: 위치입니다(예:us-central1또는asia-south1).POLICY_PROJECT_ID: 정책이 저장된 프로젝트의 ID입니다.POLICY_ID: 정책 ID입니다.CLUSTER_PROJECT_ID: 클러스터 프로젝트 ID입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \
--location=LOCATION \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
--project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters update CLUSTER_NAME `
--location=LOCATION `
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
--project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^
--location=LOCATION ^
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
--project=CLUSTER_PROJECT_ID