管理平台政策
本部分介绍如何管理 CV 平台政策。
创建平台政策
本部分介绍如何创建平台政策。
在使用下面的命令数据之前,请先进行以下替换:
- POLICY_ID:您选择的平台政策 ID。如果政策位于其他项目中,您可以使用完整的资源名称:
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID。 - POLICY_PATH:政策文件的路径。
- POLICY_PROJECT_ID:政策项目 ID。
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud beta container binauthz policy create POLICY_ID \ --platform=gke \ --policy-file=POLICY_PATH \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy create POLICY_ID ` --platform=gke ` --policy-file=POLICY_PATH ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy create POLICY_ID ^ --platform=gke ^ --policy-file=POLICY_PATH ^ --project=POLICY_PROJECT_ID
列出 CV 平台政策
本部分介绍如何列出平台政策。
在使用下面的命令数据之前,请先进行以下替换:
POLICY_PROJECT_ID:包含要列出的政策的项目 ID
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud beta container binauthz policy list gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy list gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy list gke ^ --project=POLICY_PROJECT_ID
描述 CV 平台政策
本部分介绍如何描述平台政策项目。
在使用下面的命令数据之前,请先进行以下替换:
POLICY_PROJECT_ID:包含政策的项目的 IDPOLICY_ID:平台政策 ID。如果政策位于其他项目中,您可以使用完整的资源名称:projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID。
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud beta container binauthz policy describe POLICY_ID \ --project=POLICY_PROJECT_ID \ --platform=gke
Windows (PowerShell)
gcloud beta container binauthz policy describe POLICY_ID ` --project=POLICY_PROJECT_ID ` --platform=gke
Windows (cmd.exe)
gcloud beta container binauthz policy describe POLICY_ID ^ --project=POLICY_PROJECT_ID ^ --platform=gke
更新 CV 平台政策
本部分介绍如何更新平台政策。
在使用下面的命令数据之前,请先进行以下替换:
- POLICY_ID:平台政策 ID。如果政策位于其他项目中,您可以使用完整的资源名称:
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID。 - POLICY_PROJECT_ID:政策项目 ID
- POLICY_PATH:更新后的政策文件的路径
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud beta container binauthz policy update POLICY_ID \ --policy-file=POLICY_PATH \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy update POLICY_ID ` --policy-file=POLICY_PATH ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy update POLICY_ID ^ --policy-file=POLICY_PATH ^ --platform=gke ^ --project=POLICY_PROJECT_ID
删除 CV 平台政策
本部分介绍如何删除平台政策。
在使用下面的命令数据之前,请先进行以下替换:
POLICY_ID:本地平台政策的 ID。如果政策位于其他项目中,您可以使用完整的资源名称:projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID。- POLICY_PROJECT_ID:政策项目 ID
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud beta container binauthz policy delete POLICY_ID \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy delete POLICY_ID ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy delete POLICY_ID ^ --platform=gke ^ --project=POLICY_PROJECT_ID
使用 CV 政策管理 GKE 集群
本部分介绍如何为 GKE 启用使用平台政策的 CV。
更新集群以仅使用 CV 监控
本部分介绍如何更新集群以仅使用基于 CV 平台政策的监控。如果此集群已启用项目单例政策强制执行,运行此命令会停用它。请考虑改为更新启用了强制执行和 CV 监控的集群。
在使用下面的命令数据之前,请先进行以下替换:
CLUSTER_NAME:集群名称LOCATION:位置,例如:us-central1或asia-south1POLICY_PROJECT_ID:存储政策的项目的 IDPOLICY_ID:政策 IDCLUSTER_PROJECT_ID:集群项目 ID
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
更新集群以将 Binary Authorization 强制执行与 CV 监控搭配使用
本部分介绍如何更新集群以使用项目单例政策强制执行和基于 CV 平台政策的监控。
在使用下面的命令数据之前,请先进行以下替换:
CLUSTER_NAME:集群名称LOCATION:位置,例如:us-central1或asia-south1POLICY_PROJECT_ID:存储政策的项目的 IDPOLICY_ID:政策 IDCLUSTER_PROJECT_ID:集群项目 ID
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
停用 CV
您可以在还使用了 Binary Authorization 和项目单例政策进行强制执行的 GKE 集群上启用 CV。
在这种情况下,如果您只想停用 CV,请运行以下命令:
在使用下面的命令数据之前,请先进行以下替换:
CLUSTER_NAME:集群名称LOCATION:位置,例如:us-central1或asia-south1POLICY_PROJECT_ID:存储政策的项目的 IDPOLICY_ID:政策 IDCLUSTER_PROJECT_ID:集群项目 ID
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID