Configurazione per i cluster GKE

Questo documento mostra come configurare Autorizzazione binaria per i cluster GKE. Mostra poi come configurare un criterio di Autorizzazione binaria di esempio.

Prima di iniziare

  1. I cluster GKE devono essere registrati con Connetti. Autorizzazione binaria supporta i seguenti ambienti.

    GKE su Bare Metal

    GKE su Bare Metal 1.14 o versioni successive.

    GKE su VMware

    GKE su VMware 1.4 o versioni successive.

  2. Il servizio di Autorizzazione binaria utilizza un indirizzo IP pubblico, accessibile tramite una normale connessione a internet. Configura le tue regole firewall per HTTPS in modo che il cluster utente possa accedere all'endpoint binaryauthorization.googleapis.com.

    GKE su Bare Metal

    Configura le regole firewall su GKE su Bare Metal.

    GKE su VMware

    Configura le regole firewall per GKE su VMware.

  3. Se vuoi utilizzare Audit log Cloud centralizzati per visualizzare le voci degli audit log, incluse quelle provenienti da Autorizzazione binaria per i cluster GKE, devi configurare Cloud Audit Logs nella configurazione del cluster.

    GKE su Bare Metal

    Configura Cloud Audit Logs in GKE su Bare Metal.

    GKE su VMware

    Configura Cloud Audit Logs in GKE su VMware.

  4. Devi abilitare l'API Binary Authorization come segue:

    1. Vai alla console Google Cloud.

      Abilita API

    2. Nell'elenco a discesa del progetto, seleziona il progetto Connect. Puoi trovare questo progetto Google Cloud nella sezione gkeConnect del file di configurazione del cluster utente. Questo è il progetto Google Cloud che connette il cluster utente a Google Cloud.

Configura Autorizzazione binaria

In questa sezione configurerai Autorizzazione binaria per i cluster GKE nel tuo cluster.

Specifica le variabili di ambiente di installazione

Per specificare le variabili di ambiente:

Utilizzare Workload Identity

  1. Specifica il tuo progetto Connect:

    export PROJECT_ID=PROJECT_ID

  2. Specifica l'ID appartenenza del parco risorse del tuo cluster:

    export MEMBERSHIP_ID=MEMBERSHIP_ID

Utilizzo della chiave dell'account di servizio

  1. Specifica il tuo progetto Connect:

    export PROJECT_ID=PROJECT_ID

    Sostituisci PROJECT_ID con il progetto Google Cloud nella sezione gkeConnect del file di configurazione del cluster utente.

  2. Specifica il percorso del file kubeconfig del cluster utente:

    export KUBECONFIG=PATH

    Sostituisci PATH con il percorso del file kubeconfig del cluster utente.

  3. Scegli un nome per l'account di servizio di accesso all'API Binary Authorization:

    export SA_NAME=SERVICE_ACCOUNT_NAME

    Sostituisci SERVICE_ACCOUNT_NAME con il nome dell'account di servizio che preferisci. Il modulo Autorizzazione binaria utilizza questo account di servizio per accedere all'API Binary Authorization.

  4. Specifica il percorso del file delle chiavi dell'account di servizio che scarichi in seguito in questa guida:

    export SA_JSON_PATH=SA_KEY_FILE_PATH

    Sostituisci SA_KEY_FILE_PATH con il percorso del file di chiavi JSON per l'account di servizio.

Installa il modulo Autorizzazione binaria nel cluster utente

Per installare il modulo Autorizzazione binaria, segui questi passaggi:

Utilizzare Workload Identity

Fleet Workload Identity consente ai carichi di lavoro nel tuo cluster di eseguire l'autenticazione su Google senza che tu debba scaricare, ruotare manualmente e gestire in generale le chiavi degli account di servizio Google Cloud. Per saperne di più su come funziona Workload Identity del parco risorse e sui vantaggi del suo utilizzo, consulta Utilizzare Workload Identity del parco risorse.

  1. Concedi il ruolo binaryauthorization.policyEvaluator all'account di servizio Kubernetes nel tuo progetto Connect:

    gcloud projects add-iam-policy-binding ${PROJECT_ID} \
    --member="serviceAccount:${PROJECT_ID}.svc.id.goog[binauthz-system/binauthz-admin]" \
    --role="roles/binaryauthorization.policyEvaluator"

  2. Crea una directory di lavoro:

    1. Crea una directory denominata binauthz.

    2. Passa alla directory.

  3. Scarica il file manifest-wi-0.2.6.yaml.tmpl, che utilizzi per installare il modulo di autorizzazione binaria nel cluster utente dei cluster GKE:

    GKE su Bare Metal 

    gsutil cp gs://anthos-baremetal-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .

    GKE su VMware 

    gsutil cp gs://gke-on-prem-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .

  4. Sostituisci le variabili di ambiente nel modello:

    envsubst < manifest-wi-0.2.6.yaml.tmpl > manifest-0.2.6.yaml

  5. Installa il modulo di Autorizzazione binaria nel cluster utente:

    kubectl apply -f manifest-0.2.6.yaml

  6. Verifica che il deployment sia stato creato:

    kubectl get pod --namespace binauthz-system

    Vedrai il pod binauthz-module-deployment-* elencato con Status di Running e 1/1 pod pronti, in modo simile a questo output:

    NAME                                          READY   STATUS    RESTARTS   AGE
binauthz-module-deployment-5fddf9594f-qjprz   1/1     Running   0          11s

Utilizzo della chiave dell'account di servizio

  1. Imposta il progetto predefinito per Google Cloud CLI:

    gcloud config set project ${PROJECT_ID}

  2. Crea un account di servizio di accesso all'API Binary Authorization:

    gcloud iam service-accounts create ${SA_NAME}

  3. Concedi il ruolo binaryauthorization.policyEvaluator all'account di servizio di accesso all'API Binary Authorization nel tuo progetto Connect:

    gcloud projects add-iam-policy-binding ${PROJECT_ID}\
    --member="serviceAccount:${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \
    --role="roles/binaryauthorization.policyEvaluator"

  4. Crea una directory di lavoro:

    1. Crea una directory denominata binauthz.

    2. Passa alla directory.

  5. Scarica il file manifest-0.2.6.yaml, che utilizzi per installare il modulo di autorizzazione binaria nel cluster utente dei cluster GKE:

    anthos_clusters_on_bare_metal 

    gsutil cp gs://anthos-baremetal-release/binauthz/manifest-0.2.6.yaml .

    anthos_clusters_on_vmware 

    gsutil cp gs://gke-on-prem-release/binauthz/manifest-0.2.6.yaml .

  6. Crea un file YAML per lo spazio dei nomi binauthz-system.

    Copia quanto segue in un file denominato namespace.yaml:

    apiVersion: v1
kind: Namespace
metadata:
  labels:
    control-plane: binauthz-controller
  name: binauthz-system

  7. Crea lo spazio dei nomi nel cluster utente:

    kubectl apply -f namespace.yaml

    Vedrai un output simile al seguente:

    namespace/binauthz-system created

  8. Scarica un file di chiave JSON per il tuo account di servizio:

    gcloud iam service-accounts keys create ${SA_JSON_PATH} --iam-account ${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

  9. Salva la chiave dell'account di servizio come secret di Kubernetes nel cluster utente:

    kubectl --namespace binauthz-system create secret generic binauthz-sa --from-file=key.json=${SA_JSON_PATH}

  10. Installa il modulo di Autorizzazione binaria nel cluster utente:

    kubectl apply -f manifest-0.2.6.yaml

  11. Verifica che il deployment sia stato creato:

    kubectl get pod --namespace binauthz-system

    Vedrai il pod binauthz-module-deployment-* elencato con Status di Running e 1/1 pod pronti, in modo simile a questo output:

    NAME                                          READY   STATUS    RESTARTS   AGE
binauthz-module-deployment-5fddf9594f-qjprz   1/1     Running   0          11s

Configura e utilizza i criteri di Autorizzazione binaria

Questa sezione mostra come configurare e utilizzare i criteri di Autorizzazione binaria per i cluster GKE.

In ogni esempio, configuri il criterio e poi lo testi tentando di eseguire il deployment di un'immagine container nel tuo cluster GKE.

Consenti tutto

Questa sezione mostra un caso di successo. Puoi configurare il criterio di Autorizzazione binaria in modo che un'immagine container soddisfi il criterio e ne venga eseguito il deployment.

In Google Cloud, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Autorizzazione binaria.

    Vai ad Autorizzazione binaria

  2. Assicurati di selezionare il tuo ID progetto Connect.

  3. Fai clic su Modifica criterio.

  4. In Regola predefinita del progetto, seleziona Consenti tutte le immagini.

  5. Fai clic su Save Policy (Salva criterio).

gcloud

  1. Imposta il PROJECT_ID per il tuo progetto Connect. Puoi trovare questo ID progetto nel campo gkeConnect del file di configurazione del cluster utente.

    export PROJECT_ID=PROJECT_ID

    Imposta il progetto Google Cloud predefinito.

    gcloud config set project ${PROJECT_ID}

  2. Esporta il file YAML dei criteri nel tuo sistema locale:

    gcloud container binauthz policy export  > policy.yaml

    Il file YAML ha il seguente aspetto:

    defaultAdmissionRule:
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
  evaluationMode: ALWAYS_ALLOW
globalPolicyEvaluationMode: ENABLE
name: projects/<var>PROJECT_ID</var>/policy

  3. Modifica policy.yaml.

  4. Imposta evaluationMode su ALWAYS_ALLOW.

  5. Se il file contiene un blocco requireAttestationsBy, eliminalo.

  6. Salva il file.

  7. Importa policy.yaml come segue:

    gcloud container binauthz policy import policy.yaml

Per aggiungere un'immagine esente alla lista consentita, aggiungi quanto segue al file dei criteri: 

admissionWhitelistPatterns:
  - namePattern: EXEMPT_IMAGE_PATH

Sostituisci EXEMPT_IMAGE_PATH con il percorso dell'immagine da escludere. Per escludere altre immagini, aggiungi altre voci - namePattern. Scopri di più su admissionWhitelistPatterns.

Sulla workstation di amministrazione dei cluster GKE, segui questi passaggi:

  1. Creare un file manifest per un pod.

    Salva quanto segue in un file denominato pod.yaml:

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
spec:
  containers:
  - name: test-container
    image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4

  2. Crea il pod:

    kubectl apply -f pod.yaml

    Vedrai che il deployment del pod è stato eseguito correttamente.

  3. Elimina il pod:

    kubectl delete -f pod.yaml

Disattiva tutto

Questa sezione mostra un caso di errore. In questa sezione configurerai il criterio predefinito per impedire il deployment dell'immagine container.

In Google Cloud, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Autorizzazione binaria.

    Vai ad Autorizzazione binaria

  2. Assicurati che il progetto Connect sia selezionato.

  3. Fai clic su Modifica criterio.

  4. In Regola predefinita del progetto, seleziona Non consentire tutte le immagini.

  5. Fai clic su Salva criterio.

gcloud

  1. Imposta PROJECT_ID sul tuo ID progetto Connect.

    export PROJECT_ID=PROJECT_ID

  2. Imposta il progetto Google Cloud predefinito.

    gcloud config set project ${PROJECT_ID}

  3. Esporta il file YAML del criterio:

    gcloud container binauthz policy export  > policy.yaml

  4. Modifica policy.yaml.

  5. Imposta evaluationMode su ALWAYS_DENY.

  6. Se il file contiene un blocco requireAttestationsBy, eliminalo.

  7. Salva il file.

  8. Importa policy.yaml come segue:

    gcloud container binauthz policy import policy.yaml

Sulla workstation di amministrazione dei cluster GKE, segui questi passaggi:

  1. Creare un file manifest per un pod.

    Salva quanto segue in un file denominato pod.yaml:

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
spec:
  containers:
  - name: test-container
    image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4

  2. Crea il pod:

    kubectl apply -f pod.yaml

    Vedrai che è stato bloccato il deployment del pod. L'output sarà simile al seguente:

    Error from server (VIOLATES_POLICY): error when creating "pod.yaml": admission webhook "binaryauthorization.googleapis.com" denied the request: Denied by default admission rule. Overridden by evaluation mode

Recupera l'ID risorsa del cluster utente

Questa sezione mostra come comporre l'ID risorsa del cluster utente. Nel criterio di Autorizzazione binaria, puoi creare regole specifiche del cluster. Devi associare queste regole a un ID risorsa specifico del cluster, che si basa sull'ID cluster.

L'ID risorsa è il seguente:

Console

  1. Nella console Google Cloud, vai alla pagina Cluster di GKE Enterprise.

    Vai a Cluster

  2. Seleziona l'ID progetto Connect per i cluster GKE. Puoi trovare questo ID progetto nella sezione gkeConnect del file di configurazione del cluster utente.

  3. In Cluster gestiti Anthos, trova il tuo ID cluster nella colonna Nome.

  4. Per creare l'ID risorsa, aggiungi il prefisso global. all'ID cluster in modo che l'ID risorsa abbia il seguente formato: global.CLUSTER_ID.

gcloud

  1. Usa SSH per connetterti alla workstation di amministrazione dei cluster GKE.

  2. Nella workstation di amministrazione, esegui questo comando:

    kubectl get membership -o yaml

  3. Recupera l'ID cluster dal campo spec.owner.id dell'output. Segue un esempio di output:

    apiVersion: v1
items:
- apiVersion: hub.gke.io/v1
  kind: Membership
  ...
  spec:
    owner:
      id: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/my-cluster-id

    Nell'output di esempio, l'ID cluster è my-cluster-id.

  4. Per creare l'ID risorsa, aggiungi il prefisso global. all'ID cluster. Nell'esempio, l'ID risorsa è global.my-cluster-id.

che puoi utilizzare quando definisci regole specifiche per il cluster. Scopri come impostare regole specifiche per il cluster utilizzando la console Google Cloud o gcloud CLI.

Aggiorna il criterio di errore

Il webhook del modulo di autorizzazione binaria può essere configurato in modo da non aprire o la chiudere.

Chiusura non riuscita

Per aggiornare il criterio di errore in modo che la chiusura non vada a buon fine:

  1. Modifica il file manifest-0.2.6.yaml e imposta failurePolicy su Fail

  2. Riattiva il webhook:

    kubectl apply -f manifest-0.2.6.yaml

    Vedrai un output simile al seguente:

    serviceaccount/binauthz-admin unchanged
role.rbac.authorization.k8s.io/binauthz-role configured
clusterrole.rbac.authorization.k8s.io/binauthz-role configured
rolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged
clusterrolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged
secret/binauthz-tls unchanged
service/binauthz unchanged
deployment.apps/binauthz-module-deployment unchanged
validatingwebhookconfiguration.admissionregistration.k8s.io/binauthz-validating-webhook-configuration configured

Fail open

Per aggiornare il criterio di errore in modo che non venga aperto, segui questi passaggi:

  1. Modifica il file manifest-0.2.6.yaml e imposta failurePolicy su Ignore

  2. Riattiva il webhook:

    kubectl apply -f manifest-0.2.6.yaml

    Vedrai un output simile al seguente:

    serviceaccount/binauthz-admin unchanged
role.rbac.authorization.k8s.io/binauthz-role configured
clusterrole.rbac.authorization.k8s.io/binauthz-role configured
rolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged
clusterrolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged
secret/binauthz-tls unchanged
service/binauthz unchanged
deployment.apps/binauthz-module-deployment unchanged
validatingwebhookconfiguration.admissionregistration.k8s.io/binauthz-validating-webhook-configuration configured

Per scoprire di più, consulta le norme relative agli errori del webhook.

Esegui la pulizia

  1. Il seguente esempio di codice mostra come disattivare il webhook:

    kubectl delete ValidatingWebhookConfiguration/binauthz-validating-webhook-configuration

  2. Il seguente esempio di codice mostra come riattivare il webhook:

    kubectl apply -f manifest-0.2.6.yaml

  3. Il seguente esempio di codice mostra come eliminare tutte le risorse correlate ad Autorizzazione binaria:

    kubectl delete -f manifest-0.2.6.yaml
kubectl delete namespace binauthz-system

Passaggi successivi